Das Samba-Team hat über ein Problem informiert, das nur Samba betrifft, das als Domänencontroller verwendet wird (sowohl als klassischer/NT4-Style als auch als Active-Directory-DC). Bitte lesen Sie den folgenden Text sorgfältig, den wir auch hier veröffentlichen:
Samba-Benutzer haben berichtet, dass der Exploit für "ZeroLogin" gegen Samba durchgeht. Samba hat einen gewissen Schutz für dieses Problem, da wir seit Samba 4.8 eine Voreinstellung von 'server schannel = yes' gesetzt haben. Benutzer, die diese Voreinstellung geändert haben, werden hiermit gewarnt, dass Samba das AES-Netlogon-Protokoll originalgetreu implementiert und somit dem gleichen Fehler im Kryptosystem-Design unterliegt.
Hersteller, die Samba 4.7 und darunter unterstützen, sollten ihre Installationen und Pakete patchen, um diese Voreinstellung zu ändern, da die Werte:
- server schannel = no
- server schannel = auto
NICHT sicher sind und wir erwarten, dass sie zu einer vollständigen Kompromittierung der Domäne führen können, insbesondere bei AD-Domänen.
Einige öffentliche Exploit-Tests, wie z. B. https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py bestätigen nur, dass ein ServerAuthenticate3 -Aufruf funktioniert, aber nicht, dass der ServerPasswordSet2 -Aufruf, der zum Ausnutzen der Domäne erforderlich ist, ebenfalls funktioniert.
Wie Microsoft schlagen wir vor, dass "server schannel = yes" für den sicheren Betrieb gesetzt werden muss. Dies ist unser Äquivalent zu Microsofts Registry-Schlüssel FullSecureChannelProtection=1, mit dem Unterschied, dass er in allen Samba-Hauptversionen, die in den letzten drei Jahren veröffentlicht wurden, bereits standardmäßig aktiviert ist.
Abschließend möchten wir noch anmerken, dass das Audit-Logging von Samba die ServerAuthenticate3- und ServerPasswordSet-Aufrufe einschließlich der Quell-IP aufzeichnet; Details zu den zu aktivierenden Optionen werden später gegeben.
Es scheint einige Legacy-Software zu geben, die immer noch "server schannel = auto" erfordert. Siehe die folgenden Bugs:
- https://bugzilla.samba.org/show_bug.cgi?id=11892
- https://bugzilla.samba.org/show_bug.cgi?id=13464
- https://bugzilla.samba.org/show_bug.cgi?id=13949
Wir werden eine zusätzliche Absicherung hinzufügen, die es Administratoren ermöglicht, "server schannel = yes" global zu verwenden und Ausnahmen nur für bestimmte Computerkonten zu definieren. Unser Fortschritt kann über diesen Fehler verfolgt werden: https://bugzilla.samba.org/show_bug.cgi?id=14497