L'équipe Samba a été informée d'un problème qui s'applique à Samba utilisé comme contrôleur de domaine uniquement (à la fois en tant que DC classique/NT4 et en tant que DC de directive active). Veuillez lire attentivement le texte suivant, que nous publions également ici:
Des utilisateurs de Samba ont signalé que l'exploit pour "ZeroLogin" passe contre Samba. Samba dispose d'une certaine protection contre ce problème car, depuis Samba 4.8, la valeur par défaut est 'server schannel = yes'. Les utilisateurs qui ont modifié cette valeur par défaut sont avertis par la présente que Samba implémente fidèlement le protocole AES de connexion au réseau et qu'il est donc victime du même défaut dans la conception du système de cryptage.
Les fournisseurs prenant en charge Samba 4.7 et les versions inférieures doivent mettre à jour leurs installations et leurs paquets pour modifier cette valeur par défaut, comme les valeurs de:
- server schannel = no
- server schannel = auto
ne sont PAS sûres et nous pensons qu'elles peuvent entraîner la compromission d'un domaine complet, en particulier pour les domaines AD.
Certains tests d'exploitation publics, tels que https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py confirment uniquement qu'un appel ServerAuthenticate3 fonctionne, mais pas que l'appel ServerPasswordSet2 nécessaire pour exploiter le domaine fonctionne également.
Comme Microsoft, nous suggérons que "server schannel = yes" soit défini pour un fonctionnement sécurisé. Il s'agit de notre équivalent de la clé de registre FullSecureChannelProtection=1 de Microsoft, à la différence qu'elle est déjà activée par défaut dans toutes les versions majeures de Samba publiées au cours des trois dernières années.
Enfin, notons que la journalisation de l'audit de Samba enregistrera les appels ServerAuthenticate3 et ServerPasswordSet, y compris l'IP source, des détails seront fournis plus tard sur les options à activer.
Il semble que certains logiciels anciens exigent toujours "server schannel = auto". Voir les bogues suivants:
- https://bugzilla.samba.org/show_bug.cgi?id=11892
- https://bugzilla.samba.org/show_bug.cgi?id=13464
- https://bugzilla.samba.org/show_bug.cgi?id=13949
Nous allons ajouter un renforcement supplémentaire qui permettra aux administrateurs d'utiliser "server schannel = yes" de manière globale et de définir des exceptions uniquement pour des comptes informatiques spécifiques. Notre progression peut être suivie via ce bogue: https://bugzilla.samba.org/show_bug.cgi?id=14497
