Badlock ошибка

Badlock ошибка
12 апреля 2016 года Badlock, решающий ошибка безопасности в ОС Windows и Samba была раскрыта.
Samba 4.4.2, 4.3.8 и 4.2.11 релизы безопасности доступны.
Необходимо обновить свои системы. Мы уверены, что в скором времени будет эксплойты.
Инженеры Microsoft и Samba Team вместе работали в течение последних месяцев, чтобы получить эту проблему фиксированной.
Q &
Есть ли для CVE Badlock?
Да. Badlock для Samba ссылается CVE-2016-2118 (SAMR и LSA человек в середине атак возможно) и для Windows , с помощью CVE-2016-0128 / MS16-047 (Windows SAM и LSAD уязвимости более ранней версии).
Есть дополнительные CVEs связанные с Badlock. Это:
CVE-2015-5370 (несколько ошибок в коде АКД-RPC)
CVE-2016-2110 (Человек в середине атаки возможно с NtLmSsp)
CVE-2016-2111 (NETLOGON уязвимость подмены)
CVE-2016-2112 (клиент и сервер LDAP не обеспечения целостности)
CVE-2016-2113 (Отсутствует проверка TLS сертификат)
CVE-2016-2114 ( "подписи сервера = обязательный" не соблюдается)
CVE-2016-2115 (трафик SMB IPC не защищена целостность)
Что злоумышленники могут получить?
Более подробное описание уязвимости безопасности могут быть в основном классифицируются как человек-в-середине или атак отказа в обслуживании.
Человек-в-середине (MITM атаки):
Есть несколько атак MITM , которые могут быть выполнены против различных протоколов , используемых Samba. Это позволит выполнение произвольных сетевых вызовов Samba с использованием контекста перехваченной пользователя. Примеры Влияние перехватывающий сетевого администратора трафика:
Samba AD сервера - просмотр или изменение тайны внутри базы данных AD, включая пароль пользователя хэшей, или выключение критически важных сервисов.
стандартный сервер Samba - изменить права доступа пользователей к файлам и каталогам.
Отказ в обслуживании (DoS) атаки:
услуги Samba уязвимы к отказу в обслуживании от злоумышленника с удаленного сетевого подключения к службе Samba.
Кто пострадал?
Затронутые версии Samba являются:
3.6.x,
4.0.x,
4.1.x,
4.2.0-4.2.9,
4.3.0-4.3.6,
4.4.0
Более ранние версии не были оценены.
Как я могу исправить мои системы?
Пожалуйста, применять патчи, предоставляемые Samba Team и SerNet для EnterpriseSAMBA / SAMBA + немедленно.
Заплатанные версии (как промежуточные и окончательный релиз безопасности заплатку):
4.2.10 / 4.2.11,
4.3.7 / 4.3.8,
4.4.1 / 4.4.2.
С выходом Samba 4.4.0 22 марта филиал 4.1 релиз был отмечен прекращенной (см Samba Планирование релиза ). Обратите внимание , что Samba 4.1 и ниже, поэтому из поддержки, даже для исправления безопасности. Там не будет никаких официальных релизов безопасности для Samba 4.1 и ниже опубликованной Team Samba или SerNet (для EnterpriseSAMBA). Мы настоятельно рекомендуем пользователям обновить до поддерживаемого релиза.
Некоторые производители могут выбрать грузить 4.4.1, 4.3.7 и 4.2.10 версии и добавить регрессии патчи поверх них, из-за широкого масштаба и сложности этого выпуска. Некоторые из них могут также просто портировать патчи для старых выпусков. Обратитесь к поставщику Samba для деталей.
Какие дальнейшие улучшения после того как пропатчен предложены?
Смягчающие для (MITM) атак человек-в-середине:
Сетевые средства защиты, которые могут быть использованы MITM атаки включают в себя по протоколу DHCP, ARP Inspection и 802.1x.
Рекомендуется, чтобы администраторы установить эти дополнительные параметры, если это совместимо с их сетевой среде:
Сервер подписи = обязательная
NTLM авторизация = нет
Без сервера подписания = обязательной, человек в средние атак по-прежнему возможно против нашего файлового сервера и классического контроллера / Samba3 домена / NT4 типа. (В настоящее время применяются на AD Samba в DC.) Обратите внимание, что это оказывает серьезное влияние на производительность файлового сервера, так что вам нужно выбирать между производительностью и безопасностью. Это человек, в средние атак для файловых серверов SMB хорошо известны в течение многих десятилетий.
Без 'NTLM AUTH = нет', то все еще может быть клиенты, не использующие NTLMv2, и эти наблюдаемые пароли могут быть грубой вынуждены легко с помощью облачных вычислительных ресурсов или радужных таблиц.
Смягчающие для отказа в обслуживании (DoS) атаки:
Применить правила брандмауэра на сервере, чтобы разрешить подключение только из доверенных адресов.
Будет ли шифрования защиты от этих атак?
Протокол SMB, по умолчанию, только шифрует учетные данные и команды, в то время как файлы передаются в незашифрованном виде. Рекомендуется, чтобы в безопасности / Конфиденциальность шифрования чувствительных сценариев используется для защиты всех коммуникаций.
Samba добавила шифрование в версии 3.2 в 2008 году, но только для клиентов Samba. Microsoft добавила поддержку шифрования SMB для SMB 3.0 в Windows 8 и Windows Server 2012. Тем не менее, оба эти типы шифрования защищают только связи, такая передача файлов, после SMB переговоров и команды были завершены. Именно эта фаза, которая содержит фиксированные уязвимости.
Samba / SMB шифрование является хорошей практикой, но не является достаточным для защиты от этих уязвимостей. Шифрование на уровне сети, такие как IPSec, требуется для полной защиты в качестве временного решения.
Как плохо Badlock?
Тяжесть Badlock в соответствии с общей уязвимости Scoring System (CVSS):
CVSS: 3.0 / AV: A / AC: H / PR: N / UI: R / S: U / C: H / I: H / A: H / E: P / RL: O / RC: C
Основание: 7.1 (Высокая); Temporal: 6.4 (Medium)
Эксплуатируется в настоящее время эта уязвимость?
Это может быть возможным, так как у нас уже есть несколько PoC (ни один из них не выйдет в ближайшее время).
Что означает "Badlock" означает?
"Badlock" должен был быть довольно родовое название и не указывает на каких-либо специфических особенностей.
Еще один баг с логотипом?
Какие фирменные ошибки способны достичь лучше всего сказал, одним словом: осознание. Кроме названия ошибок могут служить в качестве уникальных идентификаторов, отличных от различных идентификаторов ошибок CVE / MS.
Это тонкая грань между привлечь внимание к серьезной уязвимости, которые должны быть приняты серьезно и overhyping его. Этот процесс не начинал с брендингом - это началось некоторое время назад с каждым работает над исправлениями. Основной целью этого объявления было дать головы. Вендоры и дистрибьюторы Samba информируются перед тем, как исправление безопасности выпущен в любом случае. Это является частью любого процесса высвобождения безопасности Samba.
Кто нашел Буг Badlock?
Badlock был обнаружен Стефан Metzmacher. Он является членом международного Samba основной группы и работает в SerNet на Samba. Он сообщил об ошибке в Microsoft и работает в тесном контакте с ними , чтобы решить эту проблему.