WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Samba phát hành bản vá cho lỗ hổng Zerologon
Đội ngũ của Samba vừa phát hành các bản vá cho lỗ hổng theo thang đặc quyền nghiêm trọng ảnh hưởng đến giao thức từ xa Netlogon của Microsoft Windows (MS-NRPC).
Lỗ hổng Zerologon (CVE-2020-1472), có điểm CVSS là 10, đã được xử lý trong Patch Tuesday tháng 8/2020 của Microsoft, có thể được kích hoạt khi kẻ tấn công kết nối đến một bộ điều khiển domain sử dụng một kết nối kênh bảo mật Netlogon dính lỗ hổng.
Netlogo là dịch vụ phục vụ việc giao tiếp giữa máy bàn với server domain controller trong mạng doanh nghiệp. Dịch vụ này không có tác dụng trên máy cá nhân.
Kẻ tấn công có thể sử dụng một ứng dụng tự tạo trên thiết bị kết nối cùng dải mạng để khai thác lỗ hổng và giành quyền truy cập của quản trị viên domain.
Ngày 18/09/2020, Bộ An ninh nội địa Hoa Kỳ (DHS) đã phát đi chỉ thị khẩn cấp yêu cầu tất cả các cơ quan liên bang xử lý lỗ hổng này trong vòng 3 ngày, coi đây là một “nguy cơ không thể chấp nhận được đối với các Chi nhánh điều hành dân sự Liên bang”.
Hóa ra, Windows Server không phải là sản phẩm duy nhất bị ảnh hưởng bởi lỗ hổng này. Phần mềm Samba cho phép người dùng dễ dàng chia sẻ các file giữa các hệ thống Linux và Windows, cũng bị ảnh hưởng vì nó phụ thuộc vào Netlogon.
Với việc Zerologon là lỗ hổng ở cấp độ giao thức và vì Samba đang chạy giao thức này, Samba cũng dính lỗ hổng khi được sử dụng làm bộ điều khiển domain duy nhất. Các thiết lập Active Directory DC bị ảnh hưởng nhiều nhất, lỗ hổng có tác động thấp đến DC cổ điển/NT4-style.
Theo đội ngũ của Samba: “Kể từ phiên bản 4.8 (phát hành tháng 3/2018), hoạt động mặc định của Samba đã phải dựa vào kênh Netlogon bảo mật có khả năng xử lý hiệu quả các cuộc tấn công phổ biến. Hoạt động này tương đương với việc có 'server schannel = yes' trong the smb.conf. Do đó các phiên bản từ 4.8 trở lên không dính lỗ hổng trừ khi chúng có chứa các dòng smb.conf 'server schannel = no' hoặc 'server schannel = auto'.
Lỗ hổng không ảnh hưởng trực tiếp đến các thiết lập mà Samba chạy như là một file server duy nhất, vì chúng không chạy dịch vụ Netlogon. Tuy nhiên, những thay đổi trong cấu hình dường như được yêu cầu để đảm bảo chúng có thể tiếp tục để giao tiếp với trình điều khiển domain.
Các phiên bản Samba 4.7 trở về trước đều dính lỗ hổng trừ khi chúng có 'server schannel = yes' trong smb.conf. Dòng 'server schannel = yes' smb.conf line tương đương với khóa registry 'FullSecureChannelProtection=1' của Microsoft.
Khai thác thành công lỗ hổng có thể dẫn đến chiếm quyền domain hoàn toàn (trên các domain Active Directory DC) hoặc tiết lộ các khóa phiên hay từ chối dịch vụ (trên các domain kiểu NT4).
Đội ngũ của Samba khuyến cáo các nhà cung cấp cài đặt các bản vá ngay lập tức.
Lỗ hổng Zerologon (CVE-2020-1472), có điểm CVSS là 10, đã được xử lý trong Patch Tuesday tháng 8/2020 của Microsoft, có thể được kích hoạt khi kẻ tấn công kết nối đến một bộ điều khiển domain sử dụng một kết nối kênh bảo mật Netlogon dính lỗ hổng.
Netlogo là dịch vụ phục vụ việc giao tiếp giữa máy bàn với server domain controller trong mạng doanh nghiệp. Dịch vụ này không có tác dụng trên máy cá nhân.
Kẻ tấn công có thể sử dụng một ứng dụng tự tạo trên thiết bị kết nối cùng dải mạng để khai thác lỗ hổng và giành quyền truy cập của quản trị viên domain.
Ngày 18/09/2020, Bộ An ninh nội địa Hoa Kỳ (DHS) đã phát đi chỉ thị khẩn cấp yêu cầu tất cả các cơ quan liên bang xử lý lỗ hổng này trong vòng 3 ngày, coi đây là một “nguy cơ không thể chấp nhận được đối với các Chi nhánh điều hành dân sự Liên bang”.
Hóa ra, Windows Server không phải là sản phẩm duy nhất bị ảnh hưởng bởi lỗ hổng này. Phần mềm Samba cho phép người dùng dễ dàng chia sẻ các file giữa các hệ thống Linux và Windows, cũng bị ảnh hưởng vì nó phụ thuộc vào Netlogon.
Với việc Zerologon là lỗ hổng ở cấp độ giao thức và vì Samba đang chạy giao thức này, Samba cũng dính lỗ hổng khi được sử dụng làm bộ điều khiển domain duy nhất. Các thiết lập Active Directory DC bị ảnh hưởng nhiều nhất, lỗ hổng có tác động thấp đến DC cổ điển/NT4-style.
Theo đội ngũ của Samba: “Kể từ phiên bản 4.8 (phát hành tháng 3/2018), hoạt động mặc định của Samba đã phải dựa vào kênh Netlogon bảo mật có khả năng xử lý hiệu quả các cuộc tấn công phổ biến. Hoạt động này tương đương với việc có 'server schannel = yes' trong the smb.conf. Do đó các phiên bản từ 4.8 trở lên không dính lỗ hổng trừ khi chúng có chứa các dòng smb.conf 'server schannel = no' hoặc 'server schannel = auto'.
Lỗ hổng không ảnh hưởng trực tiếp đến các thiết lập mà Samba chạy như là một file server duy nhất, vì chúng không chạy dịch vụ Netlogon. Tuy nhiên, những thay đổi trong cấu hình dường như được yêu cầu để đảm bảo chúng có thể tiếp tục để giao tiếp với trình điều khiển domain.
Các phiên bản Samba 4.7 trở về trước đều dính lỗ hổng trừ khi chúng có 'server schannel = yes' trong smb.conf. Dòng 'server schannel = yes' smb.conf line tương đương với khóa registry 'FullSecureChannelProtection=1' của Microsoft.
Khai thác thành công lỗ hổng có thể dẫn đến chiếm quyền domain hoàn toàn (trên các domain Active Directory DC) hoặc tiết lộ các khóa phiên hay từ chối dịch vụ (trên các domain kiểu NT4).
Đội ngũ của Samba khuyến cáo các nhà cung cấp cài đặt các bản vá ngay lập tức.