Translated message

A translation of this page exists in English.

Error de seguridad Badlock en Samba - CVE-2016-2118

Public Date: April 12, 2016, 12:00 am
Updated -
Resolved Status
Important Impact
Red Hat Product Security ha tenido conocimiento de un error de protocolo en el DCE/RPC basado en protocolos SAMR y LSA utilizados en la infraestructura de Microsoft Windows Active Directory . Esta vulnerabilidad ha sido asignada en CVE-2016-2118 y se valora como Importante-ERR:REF-NOT-FOUND-También se han publicado otras vulnerabilidades relacionadas, que van de Moderadas a Críticas y que se describen en Critical Security Flaws en el lanzamiento de Samba del 12 de abril, 2016 .
Nota: Este es un incidente de protocolo y afecta todas las aplicaciones que implementan este protocolo, incluido Samba - CVE-2016-2118 y Microsoft Windows - CVE-2016-0128.

### Información de fondo

DCE/RPC es la especificación para un procedimiento remoto de mecanismo de llamadas que define las API y un protocolo sobre la red. El Protocolo remoto (cliente a servidor) de SAM (Security Account Manager) proporciona una funcionalidad administrativa para un almacén de cuentas o directorio que consta de usuarios y grupos. El protocolo expone la "account database" para dominios de directorios de Microsoft local y remoto g13>g14>. El protocolo remoto de autoridad de seguridad local (Política de dominio) sirve para manejar varias políticas de seguridad de máquina y dominio. Este protocolo, con unas cuantas excepciones, habilita escenarios de administración de políticas. Tanto los protocolos SAMR como los protocolos LSA se basan en el protocolo DCE 1.1 RPC.
Estos protocolos suelen estar disponibles para todas las instalaciones de Windows, así como cada servidor de Samba. Sirven para mantener la base de datos de SAM . Esto aplica a todos los roles (por ejemplo, el servidor autónomo, el controlador de dominio o el miembro de dominio).

Reconocimientos

Red Hat agradece al proyecto Samba por reportar este problema. La corriente de desarrollo principal agradece a Stefan Metzmacher (SerNet) por haber sido el primero en reportar este incidente.

Productos impactados

Este problema ha sido evaluado por Red Hat Product Security como de impacto Importante . Otras vulnerabilidades relacionadas, clasificadas entre Moderadas y Críticas y descritas en el Critical Security Flaws en el lanzamiento de Samba el 12 de abril de 2016 , también se han hecho públicas. Se puede encontrar información adicional sobre Badlock en Badlock: SAMR and LSA protocol man-in-the-middle attack against Samba (CVE-2016-2118) .

Se han afectado las siguientes versiones de Red Hat Product:

  • Red Hat Enterprise Linux 4*
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Gluster Storage 3
Todas las versiones del paquete Samba distribuidas con el servidor Red Hat Enterprise Linux y Red Hat Gluster Storage se han visto afectadas por este incidente.

*Se requiere una suscripción activa de ELS para poder acceder a este parche en RHEL 4. Si su cuenta no tiene una suscripción ELS activa. Por favor contacte a ventas de Red Hat o a su representante específico de ventas para obtener más información.

¿Qué significa Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

Descripción del ataque e impacto

Cualquier conexión DCE/RPC autenticada que un cliente inicie con un servidor podría ser utilizada por un atacante - Hombre-en-el-medio para hacerse pasar por el usuario autenticado con el servicio SAMR o LSA en el servidor. Como resultado, el atacante podría obtener acceso de lectura/escritura para la base de datos de Security Account Manager, la cual podría revelar todas las contraseñas y cualquier otra información sensible en potencia.
El protocolo de aplicación de cliente-elegido, tipo de autenticación (por ejemplo, Kerberos o NTLMSSP), y nivel de autenticación (NONE, CONNECT, SIGN, o SEAL) no importan es este caso. Un atacante Hombre-en-el-medio podría bajar el nivel de autenticación a CONNECT y tomar el control de la conexión. La vulnerabilidad Badlock fue corregida junto con las series de CVE como se documenta a continuación:

Exposición

Para los clientes que utilizan Samba como un miembro de dominio en un entorno AD:

  • ¿Cómo detectar: 'security = ads' en el archivo smb.conf?
    • Recomendamos migrar a samba3x (3.6) en RHEL5 o migrar a RHEL6/samba (3.6), o migrar a RHEL7/samba (4.2)
    • La migración no es automática, se necesita que sea planificada, en particular, alrededor de IDMAP ya que hubo cambios en 3.0 -> 3.6 y 3.6 -> 4.x

Para los clientes que usan Samba como un miembro de dominio en un entorno NT:

  • ¿Cómo detectar: 'security = domain' en el archivo smb.conf?
    • Recomendamos migrar a samba3x (3.6) en RHEL5 o migrar a RHEL6/samba (3.6), o migrar a RHEL7/samba (4.2)
    • La migración no es automática, se necesita que sea planificada, en particular, alrededor de IDMAP ya que hubo cambios en 3.0 -> 3.6 y 3.6 -> 4.x

Para los clientes que utilizan Samba como un servidor de archivos:

  • ¿Cómo detectar: 'security = user' o 'security = ads' o 'security = domain', o 'security = standalone' y comparticiones definidas en el archivo smb.conf?
    • Recomendamos migrar a samba3x (3.6) en RHEL5 o migrar a RHEL6/samba (3.6), o migrar a RHEL7/samba (4.2)
    • La migración no es automática, se necesita que sea planificada, en particular, alrededor de IDMAP ya que hubo cambios en 3.0 -> 3.6 y 3.6 -> 4.x

Preguntas frecuentes

  1. He actualizado mis servidores y clientes Samba, ¿necesito reiniciar todo?
    • No, cuando la actualización se aplique en su sistema de servidor, el servicio smb se reiniciará automáticamente.
  2. ¿Necesito aplicar el parche tanto a los servidores Samba como a los clientes Samba en mi infraestructura?
    • Como mínimo, los servidores Samba deben ser actualizados. Debido a que Badlock es un fallo de protocolo, tanto los servidores como los clientes pueden afectarse, según la configuración de la infraestructura de Samba. Red Hat Product Security recomienda a los clientes actualizar los servidores y los clientes.
  3. ¿Los parches actualizados afectarán a los clientes existentes que están ejecutándose en versiones anteriores de Samba?
    • Esta recomendación de seguridad refuerza algunas de las opciones de seguridad utilizadas para configurar Samba. Esto puede afectar las configuraciones cuando un servidor Samba esté actualizado, pero el cliente no lo esté. Es posible volver a las opciones anteriores para continuar la interoperatividad, (por ejemplo al establecer allow dcerpc auth level connect = yes en el archivo smb.conf ), aunque Red Hat Product Security no lo recomienda, ya que esto reintroduce algunos de los vectores de ataques.
  4. Mis instancias de servidor Samba no están conectadas a ningún Windows Domains, aún me veré afectado?
    • Sí, si un usuario administrador se comunica con un servidor Samba mediante un cliente que no es seguro o usa un cliente seguro para comunicarse con un servidor Samba inseguro, un atacante Hombre-en-el-medio podría, en potencia, aprovechar esta falla.
  5. ¿El cifrado me protegerá del ataque Hombre-en-el-medio (MITM)?
    • El protocolo SMB, solamente cifra las credenciales y comandos cuando los archivos son transferidos en texto plano. Se recomienda que en escenarios de seguridad y confidencialidad se utilice para proteger todas las comunicaciones. El cifrado fue agregado a Samba en versión 3.2, pero únicamente para clientes Samba. Microsoft agregó soporte de cifrado SMB a SMB 3.0 en Windows 8 y Windows Server 2012. Sin embargo, ambos tipos de cifrado solamente protegen comunicaciones, tales como transferencias de archivos, después de que negociación SMB y comandos hayan sido completados. Es esta la fase que contiene la vulnerabilidad resaltada arriba. El cifrado de Samba/SMB es una buena práctica, pero no es suficiente para proteger contra esta vulnerabilidad.
  6. ¿Cuál versión de Samba está corregida?
    • Red Hat está actualizando los paquetes (samba, samba3x, samba4) para las versiones de Samba 4.2, 4.1, 4.0, 3.6, & 3.0 a través de todos los productos que reciben soporte actualmente, incluidas las dependencias donde se requieran, como por ejemplo, IPA, OpenChange y bibliotecas libtalloc, libtdb y libevent.

Configuraciones afectadas

Una infraestructura Active Directory con a el servidor Samba como un miembro de dominio es vulnerable a este fallo. Un atacante Hombre -en-el-medio podría interceptar tráfico DCE/RPCentre el miembro de dominio y el controlador de dominio para hacerse pasar por el cliente y obtener algunos privilegios como cuenta de usuario autenticado.
Cualquier servidor Samba configurado como a archivo o servidor de impresora is también es vulnerable a este fallo.

Actualizaciones por productos afectados

Red Hat Enterprise Linux 4 - Extended Lifecycle Support* samba (v3.0) RHSA-2016:0625
Red Hat Enterprise Linux 5 samba (v3.0) RHSA-2016:0621
Red Hat Enterprise Linux 5 samba3x (v3.6) RHSA-2016:0613
Red Hat Enterprise Linux 5.6 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.6 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 5.9 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.9 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 6 samba (v3.6) RHSA-2016:0611
Red Hat Enterprise Linux 6 samba4 (v4.0) RHSA-2016:0612
Red Hat Enterprise Linux 6.2 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.2 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.4 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.4 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.5 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.5 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.6 Extended Update Support samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.6 Extended Update Support samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 7 samba (v4.2) RHSA-2016:0612
Red Hat Enterprise Linux 7.1 Extended Update Support samba (v4.1) RHSA-2016:0618
Red Hat Gluster Storage 3 (EL6) samba (v4.2) RHSA-2016:0614
Red Hat Gluster Storage 3 (EL7) samba (v4.2) RHSA-2016:0614

*Se requiere una suscripción activa ELS para acceder a este parche en RHEL 4. Por favor contacte a Red Hat sales o a su representante de ventas específico para obtener más información si su cuenta no tiene una suscripción ELS activa.

¿Qué significa Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

*Se requiere una suscripción activa de AUS para poder acceder a este parche en RHEL 6.X AUS.

Mitigación

Se puede reducir el riesgo al utilizar cuentas con privilegios para acceder a servicios SMB/CIFS hasta que el paquete que contenga el correctivo haya sido aplicado. El acceso administrativo restringido para hardware físico (consola, servidor) ha sido aplicado para que la autenticación no implique ninguna comunicación de red.

Resolución

Nueva opción de configuración smb.conf
Esta actualización presenta la siguiente opción de configuración del nuevo archivo smb.conf:
allow dcerpc auth level connect (G)
Esta opción controla si los servicios DCE/RPC pueden ser utilizados con DCERPC_AUTH_LEVEL_CONNECT, el cual proporciona autenticación, pero no por-integridad de mensaje (SIGN) ni por protección de privacidad (SEAL).
Algunas interfaces como SAMR, LSARPC, y netlogon tienen como valor de codificación predeterminado fijo no; epmapper, mgmt, y rpcecho tienen un código predeterminado fijo de sí.
La conducta puede sobrescribirse por el nombre de la interfaz (por ejemplo, lsarpc, netlogon, samr, srvsvc, winreg, o wkssvc) especificando 'allow dcerpc auth level connect:interface = yes'.
Esta opción tiene precedencia en cualquier restricción- específica de implementación. Por ejemplo:
  • Losprotocolos drsuapi y backupkey requieren DCERPC_AUTH_LEVEL_PRIVACY;
  • El protocolo dnsserver requiere DCERPC_AUTH_LEVEL_INTEGRITY.
Predeterminado: allow dcerpc auth level connect = no
Ejemplo: allow dcerpc auth level connect = yes

Share

Red Hat Customer Portal Twitter Facebook

Comments