Auswirkungen auf Samba von "ZeroLogon" CVE-2020-1472

Das Samba-Team hat über ein Problem informiert, das nur Samba betrifft, das als Domänencontroller verwendet wird (sowohl als klassischer/NT4-Style als auch als Active-Directory-DC). Bitte lesen Sie den folgenden Text sorgfältig, den wir auch hier veröffentlichen: 

Samba-Benutzer haben berichtet, dass der Exploit für "ZeroLogin" gegen Samba durchgeht. Samba hat einen gewissen Schutz für dieses Problem, da wir seit Samba 4.8 eine Voreinstellung von 'server schannel = yes' gesetzt haben. Benutzer, die diese Voreinstellung geändert haben, werden hiermit gewarnt, dass Samba das AES-Netlogon-Protokoll originalgetreu implementiert und somit dem gleichen Fehler im Kryptosystem-Design unterliegt.

Hersteller, die Samba 4.7 und darunter unterstützen, sollten ihre Installationen und Pakete patchen, um diese Voreinstellung zu ändern, da die Werte:

  • server schannel = no
  • server schannel = auto

NICHT sicher sind und wir erwarten, dass sie zu einer vollständigen Kompromittierung der Domäne führen können, insbesondere bei AD-Domänen.

Einige öffentliche Exploit-Tests, wie z. B. https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py bestätigen nur, dass ein ServerAuthenticate3 -Aufruf funktioniert, aber nicht, dass der ServerPasswordSet2 -Aufruf, der zum Ausnutzen der Domäne erforderlich ist, ebenfalls funktioniert.

Wie Microsoft schlagen wir vor, dass "server schannel = yes" für den sicheren Betrieb gesetzt werden muss. Dies ist unser Äquivalent zu Microsofts Registry-Schlüssel FullSecureChannelProtection=1, mit dem Unterschied, dass er in allen Samba-Hauptversionen, die in den letzten drei Jahren veröffentlicht wurden, bereits standardmäßig aktiviert ist.

Abschließend möchten wir noch anmerken, dass das Audit-Logging von Samba die ServerAuthenticate3- und ServerPasswordSet-Aufrufe einschließlich der Quell-IP aufzeichnet; Details zu den zu aktivierenden Optionen werden später gegeben.

Es scheint einige Legacy-Software zu geben, die immer noch "server schannel = auto" erfordert. Siehe die folgenden Bugs:

Wir werden eine zusätzliche Absicherung hinzufügen, die es Administratoren ermöglicht, "server schannel = yes" global zu verwenden und Ausnahmen nur für bestimmte Computerkonten zu definieren. Unser Fortschritt kann über diesen Fehler verfolgt werden: https://bugzilla.samba.org/show_bug.cgi?id=14497

Newsletter

Der Samba-Newsletter von SerNet informiert Sie über alle wichtigen Entwicklungen und Ereignisse. Der Schwerpunkt liegt auf neuen Paketen.

+ Newsletter abonnieren

RSS Feed

Keine SAMBA+ Neuigkeiten mehr verpassen? Lesen Sie die akuellsten News in ihrem Feed-Reader der Wahl.

+ RSS-Feed abonnieren

SAMBA+ Shop

Kaufen Sie Software-Subskriptionen und Support-Budgets. Subskriptionen für SAMBA+ sind für 1, 2 und 3 Jahre im SAMBA+ Shop erhältlich.

+ Zum US-Shop ($)

+ Zum World-Shop (€)

Contact us
Kontakt

Wir sind für Sie da!

Unser Vertriebsteam hilft Ihnen gern bei allen Fragen zu Samba-Produkten und -Dienstleistungen der SerNet – persönlich und individuell auf Sie zugeschnitten.

Sie erreichen uns direkt telefonisch unter +49 551 370000-0
oder in den USA unter +1 (415) 248-7818.
Mailen Sie uns an sales@remove-this.sernet.com.

Kontaktieren Sie uns!

linke Spalte
rechte Spalte
captcha
* Pflichtfelder
Deutsch English Français