Samba emite patches para vulnerabilidade do Zerologon

Também conhecido como Zerologon e rastreado como CVE-2020-1472, o problema de segurança foi abordado no Patch Tuesday de agosto de 2020 e pode ser acionado quando um adversário se conecta a um controlador de domínio usando uma conexão de canal seguro Netlogon vulnerável.

Um invasor pode aproveitar um aplicativo especialmente criado em um dispositivo conectado à rede para explorar a vulnerabilidade e obter acesso de administrador de domínio.

Na sexta-feira, o DHS emitiu uma Diretriz de Emergência exigindo que todas as agências federais tratem da falha dentro de três dias, considerando-a um “risco inaceitável para o Poder Executivo Federal Civil”.

Acontece que o Windows Server não foi o único produto afetado pela vulnerabilidade. O Samba, que permite aos usuários compartilhar arquivos facilmente entre sistemas Linux e Windows, também é afetado, pois depende do Netlogon.

Com o Zerologon sendo uma vulnerabilidade de nível de protocolo e o Samba implementando o protocolo Netlogon, o Samba também é vulnerável ao bug, quando usado apenas como controlador de domínio. As instalações do Active Directory DC são as mais afetadas, com a falha tendo baixo impacto no DC clássico / estilo NT4.

“Desde a versão 4.8 (lançada em março de 2018), o comportamento padrão do Samba tem sido insistir em um canal de logon de rede seguro, que é uma correção suficiente contra os exploits conhecidos. Este padrão é equivalente a ter ‘server schannel = yes’ no smb.conf. Portanto, as versões 4.8 e posteriores não são vulneráveis ​​a menos que tenham as linhas smb.conf ‘server schannel = no’ ou ‘server schannel = auto’ ”, explica a equipe do Samba .

A vulnerabilidade não afeta diretamente as instalações onde o Samba é executado apenas como um servidor de arquivos, pois eles não executam o serviço Netlogon. No entanto, é provável que sejam necessárias alterações na configuração para garantir que eles possam continuar a se comunicar com os controladores de domínio, observa a equipe.

“Samba versões 4.7 e abaixo são vulneráveis, a menos que tenham ‘server schannel = yes’ no smb.conf. […] A linha ‘server schannel = yes’ smb.conf é equivalente à chave de registro ‘FullSecureChannelProtection = 1’ da Microsoft, cuja introdução entendemos forma o núcleo da correção da Microsoft ”, diz Samba.

A exploração da vulnerabilidade pode resultar na aquisição completa do domínio (em domínios DC do Active Directory), ou divulgação de chaves de sessão ou negação de serviço (em domínios do tipo NT4), Samba explica, pedindo aos fornecedores que instalem os patches disponíveis o mais rápido possível.

Fonte: https://www.securityweek.com/samba-issues-patches-zerologon-vulnerability