Também conhecido como Zerologon e rastreado como CVE-2020-1472, o problema de segurança foi abordado no Patch Tuesday de agosto de 2020 e pode ser acionado quando um adversário se conecta a um controlador de domínio usando uma conexão de canal seguro Netlogon vulnerável.
Um invasor pode aproveitar um aplicativo especialmente criado em um dispositivo conectado à rede para explorar a vulnerabilidade e obter acesso de administrador de domínio.
Na sexta-feira, o DHS emitiu uma Diretriz de Emergência exigindo que todas as agências federais tratem da falha dentro de três dias, considerando-a um “risco inaceitável para o Poder Executivo Federal Civil”.
Acontece que o Windows Server não foi o único produto afetado pela vulnerabilidade. O Samba, que permite aos usuários compartilhar arquivos facilmente entre sistemas Linux e Windows, também é afetado, pois depende do Netlogon.
Com o Zerologon sendo uma vulnerabilidade de nível de protocolo e o Samba implementando o protocolo Netlogon, o Samba também é vulnerável ao bug, quando usado apenas como controlador de domínio. As instalações do Active Directory DC são as mais afetadas, com a falha tendo baixo impacto no DC clássico / estilo NT4.
“Desde a versão 4.8 (lançada em março de 2018), o comportamento padrão do Samba tem sido insistir em um canal de logon de rede seguro, que é uma correção suficiente contra os exploits conhecidos. Este padrão é equivalente a ter ‘server schannel = yes’ no smb.conf. Portanto, as versões 4.8 e posteriores não são vulneráveis a menos que tenham as linhas smb.conf ‘server schannel = no’ ou ‘server schannel = auto’ ”, explica a equipe do Samba .
A vulnerabilidade não afeta diretamente as instalações onde o Samba é executado apenas como um servidor de arquivos, pois eles não executam o serviço Netlogon. No entanto, é provável que sejam necessárias alterações na configuração para garantir que eles possam continuar a se comunicar com os controladores de domínio, observa a equipe.
“Samba versões 4.7 e abaixo são vulneráveis, a menos que tenham ‘server schannel = yes’ no smb.conf. […] A linha ‘server schannel = yes’ smb.conf é equivalente à chave de registro ‘FullSecureChannelProtection = 1’ da Microsoft, cuja introdução entendemos forma o núcleo da correção da Microsoft ”, diz Samba.
A exploração da vulnerabilidade pode resultar na aquisição completa do domínio (em domínios DC do Active Directory), ou divulgação de chaves de sessão ou negação de serviço (em domínios do tipo NT4), Samba explica, pedindo aos fornecedores que instalem os patches disponíveis o mais rápido possível.
Fonte: https://www.securityweek.com/samba-issues-patches-zerologon-vulnerability
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…