کمیته رکن چهارم – تیم Samba برای رفع آسیبپذیری Netlogon با شناسه CVE-۲۰۲۰-۱۴۷۲ در نسخههای مختلف Samba بهروزرسانیهای امنیتی جدیدی را منتشر کرده است.
TIME TO UPDATE SCREEN CONCEPT
از آنجاییکه نسخه ۴.۸ از Samba و نسخههای بعد از آن بهصورت پیشفرض از کانال امن پروتکل Netlogon استفاده میکنند و همین کانال امن برای مقابله با اکسپلویت موجود کافی است. مگر اینکه فایل پیکربندی smb.conf در این نسخهها تغییر داده شده و server schannel برابر auto یاno قرار داده شود. نسخه ۴.۷ از Samba و نسخههای پیشتر از آن آسیبپذیر هستند مگر اینکه خط ‘server schannel = yes’ را در فایل پیکربندی smb.conf خود داشته باشند. بنابراین لازم است هر محصولی که نسخههای پیشتر از ۴.۷ از Samba را پشتیبانی میکند با افزودن این خط در فایل پیکربندی smb.conf محصول خود را در برابر این آسیبپذیری بهروزرسانی کند.
بهرهبرداری از این آسیبپذیری امکان تغییر پسورد را فراهم میآورد. در Sambaهایی که به عنوان کنترلر دامنه NT۴-like در حال اجرا هستند، خطر کمتر از زمانی است که Samba به عنوان کنترلر دامنهActive Directory اجرا میشود. تغییر حساب کاربری ماشین در این دامنهها به هکرها حق دسترسی محدودی مشابه دیگر اعضای سرور یا دامنههای مورد اعتماد را میدهد؛ اما در دامنههای AD تغییر پسورد کنترلر دامنه، امکان افشای کامل پایگاهداده پسوردها شامل پسوردkrbtgt، درهمسازی MD4 پسورد هر کاربر و درهمسازی پسورد LM را در صورتی که ذخیره شده باشد، فراهم میآورد. پسورد krbtgt به مهاجم این امکان را میدهد تا با صدور ‘golden ticket’ برای خود امکان بازگشت و در اختیار گرفتن دامنه را در هر زمانی در آینده داشته باشد.
Samba برای برخی از دامنهها که از نرمافزارهای شخص سوم استفاده میکنند و این نرمافزارها نمیتوانند با تنظیم ‘server schannel = yes’ کار کنند نیز راهحل دارد. در این مواقع کافی است در پیکربندی Samba به ماشینهای خاص اجازه دسترسی از کانال ناامن داده شود. برای مثال اگر تنظیمات زیر در smb.conf اعمال شود تنها به triceratops$ و greywacke$ این امکان میدهد که از کانال ناامن به Netlogon متصل شوند.
server schannel = yes
server require schannel:triceratops$ = no
server require schannel:greywacke$ = no
توجه به این نکته ضروریست که تنظیم schannel = yes در فایل پیکربندی بهصورت کامل از شما محافظت نخواهد کرد. حتی در صورتی که این تنظیمات در فایل پیکربندی فعال باشد باز هم ممکن است Samba آسیبپذیر باشد. هرچند امکان دسترسی به وظیفهمندیهای دارای امتیاز خاص (privileged functionality) وجود نخواهد داشت.
Samba در بهروزرسانی خود که از طریق آدرس https://www.samba.org/samba/security در دسترس است بررسیهای بیشتری را در سرور در مقابل حملات به این پروتکلها افزوده است که این بهروزرسانی در صورتی که server schannel برابر no یا auto باشد از Samba محافظت خواهد کرد. همچنین آسیبپذیری در نسخه ۴.۱۲.۷، ۴.۱۰.۱۸ و ۴.۱۱.۱۳ رفع شده است، بنابراین از مدیران Samba در خواست میشود، محصولات خود را بهروزرسانی کنند.
