Translated message

A translation of this page exists in English.

Falha de segurança Badlock no Samba - CVE-2016-2118

Public Date: April 12, 2016, 12:00 am
Updated -
Resolved Status
Important Impact
A equipe do Red Hat Product Security tomou conhecimento sobre uma falha no protocolo DCE/RPCbaseado nos protocolos SAMR e LSA usados na infraestrutura do Microsoft Windows Active Directory. Esta falha foi atribuída à CVE-2016-2118 e é classificada como importante. Outras vulnerabilidades relacionadas à esta, variando entre moderada à crítica, descritas na Falha de Segurança Crítica no Samba, publicada em 12 de abril de 2016, também tornaram-se públicas.
Nota: Este é um problema de protocolo e afeta todos os aplicativos que implementam este protocolo, incluindo Samba - CVE-2016-2118 e Microsoft Windows - CVE-2016-0128.

Informações Gerais

DCE/RPC é a especificação para o mecanismo de chamada de procedimento remoto que define tanto APIs quanto um protocolo sobre uma rede. O Security Account Manager (SAM) do protocolo remoto (Cliente-para-Servidor), oferece a funcionalidade de gerenciamento de contas ou diretórios contendo usuários e grupos. O protocolo expõe o "banco de dados de contas" para domínios locais ou remotos do Microsoft Active Directory. A Autoridade de Segurança Local (Política de Domínio) do protocolo remoto é usado para gerenciar várias máquinas e políticas de segurança de domínios. Este protocolo, com pequenas exceções, permite cenários de gerenciamento de políticas remotas. Os protocolos SAMR e LSA são baseados no protocolo DCE 1.1 RPC.
Estes protocolos estão tipicamente disponíveis para todas as instalações do Windows, assim como em todo servidor Samba. Eles são usados para manter o banco de dados do Security Account Manager. Isto aplica-se a todas as funções (por exemplo, controlador de domínio autônomo ou membro de domínio).

Agradecimentos

A Red Hat gostaria de agradecer ao projeto Samba por reportar este problema. O projeto reconhece Stefan Metzmacher (SerNet) como o original relator dessa falha de segurança.

Produtos Impactados

Este problema foi classificado pela equipe do Red Hat Product Security, como tendo importante impacto na segurança . Outras vulnerabilidades, variando entre moderada à crítica, descritas na Falha de Segurança Crítica no Samba, publicada em 12 de abril de 2016, também tornaram-se públicas. Informações adicionais sobre o Badlock pode ser encontrado em Badlock: protocolos SAMR e LSA ataque man-in-the-middle contra o Samba (CVE-2016-2118) .

As seguintes versões e produtos da Red Hat foram impactados:

  • Red Hat Enterprise Linux 4*
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Gluster Storage 3
Todas as versões do pacote Samba enviados com o servidor do Red Hat Enterprise Linux e Red Hat Gluster Storage foram afetados por essa falha de segurança.

*Uma subscrição de ELS ativa é necessária para ter acesso a esta correção no RHEL 4. Favor entrar em contato com a equipe de vendas da Red Hat ou seu representante de vendas para mais informações, caso sua conta não tiver uma subscrição de ELS ativa.

O que é o Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

Descrição e impacto do ataque

Qualquer conexão DCE/RPC autenticada que um cliente iniciar contra um servidor pode ser usada por um ataque "man-in-the-middle" para imitar o usuário autenticado contra o serviço SAMR ou LSA no servidor. Como resultado, o invasor estaria apto a ter acesso para leitura ou gravação no banco de dados do Security Account Manager, o que poderia revelar todas as senhas e qualquer outra informação potencialmente sensível.
A escolha do cliente em relação ao protocolo de aplicativo, tipo de autenticação (por exemplo, Kerberos ou NTLMSSP) e nível de autenticação (NONE, CONNECT, SIGN, ou SEAL) não é relevante neste caso. O invasor, através do ataque"man-in-the-middle" pode reduzir o nível de autentificação para CONNECT e assim, tomar o controle da conexão. A falha Badlock está corrigida juntamente com uma série de CVEs, como aqui documentado:

Compreendendo a exposição

Para clientes utilizando Samba como um membro de domínio em um ambiente AD:

  • Como detectar: 'security = ads' no arquivo smb.conf
    • Recomendamos migrar para samba3x (3.6) no RHEL5 ou migrar para RHEL6/samba (3.6), ou migrar para RHEL7/samba (4.2)
    • A migração não é automática e precisa ser planejada, particularmente em relação ao IDMAP devido às mudanças no 3.0 -> 3.6 e 3.6 -> 4.x

Para clientes utilizando Samba como um membro de domínio no ambiente NT:

  • Como detectar: 'security = domain' no arquivo smb.conf
    • Recomendamos migrar para samba3x (3.6) no RHEL5 ou migrar para RHEL6/samba (3.6), ou migrar para RHEL7/samba (4.2)
    • A migração não é automática e precisa ser planejada, particularmente em relação ao IDMAP devido às mudanças no 3.0 -> 3.6 e 3.6 -> 4.x

Para clientes utilizando Samba como um servidor de arquivos:

  • Como detectar: 'security = user' ou 'security = ads' ou 'security = domain', ou 'security = standalone' e compartilhamento definidos no arquivo smb.conf
    • Recomendamos migrar para samba3x (3.6) no RHEL5 ou migrar para RHEL6/samba (3.6), ou migrar para RHEL7/samba (4.2)
    • A migração não é automática e precisa ser planejada, particularmente em relação ao IDMAP devido às mudanças no 3.0 -> 3.6 e 3.6 -> 4.x

Perguntas Frequentes

  1. Os clientes e servidores Samba já foram atualizados. É preciso reiniciá-los?
    • Não, quando a atualização é aplicada no seu sistema, o serviço smb será automaticamente reiniciado.
  2. É necessário corrigir tanto os servidores Samba quanto os clientes Samba em minha infraestrutura?
    • É necessário, no mínimo, que os servidores Samba sejam atualizados. Devido ao fato do Badlock ser uma falha de protocolo, tanto os servidores quanto clientes podem ser afetados, dependendo da configuração na infraestrutura do Samba. A equipe do Red Hat Product Security aconselha aos clientes a atualizar ambos, clientes e servidores.
  3. A atualização das correções são incompatíveis com os clientes existentes que estão executando versões antigas do Samba?
    • Esta consulta de segurança restringe algumas das opções de segurança usadas para configurar o Samba. Poderá haver a quebra de configurações quando o servidor Samba for atualizado, mas o cliente não for. É possível desfazer e voltar para as opções não seguras para continuar a interoperabilidade (por exemplo, ao configurar allow dcerpc auth level connect = yes no arquivo smb.conf ), entretanto, a equipe do Red Hat Product Security altamente recomenda a não fazê-lo, uma vez isto poderá reintroduzir alguns vetores de ataque.
  4. Minhas instâncias do servidor Samba não estão conectados a nenhum domínio do Windows, mesmo assim eu posso ser afetado?
    • Sim, se um usuário admin comunicar com um servidor Samba, usando um cliente que não é seguro, ou usar um cliente seguro para comunicar com um servidor Samba que não esteja seguro, um ataque "man-in-the-middle" pode, potencialmente, usar isto para explorar esta falha.
  5. A encriptação poderá me proteger contra um ataque MITM?
    • O protocolo SMB, por padrão, somente criptografa credenciais e comandos enquanto os arquivos são transferidos em um texto simples. É recomendado que, em cenários de segurança e privacidade sensíveis, a criptografia seja usada para proteger todas as comunicações. Uma criptografia foi adicionada ao Samba na versão 3.2, mas somente para clientes Samba. A Microsoft adicionou o suporte de criptografia do SMB para o SMB 3.0 no Windows 8 e Windows Server 2012. Entretanto, ambos os tipos de criptografia somente protege as comunicações, tal como a transferência de arquivos, após a conclusão das negociações e comandos SMB. É nesta fase que contém a vulnerabilidade descrita acima. A criptografia do Samba/SMB é uma boa prática, porém não é suficiente para proteção contra esta vulnerabilidade.
  6. Qual versão do Samba foi corrigida?
    • A Red Hat está atualizando os pacotes (samba, samba3x, samba4) para versões do Samba 4.2, 4.1, 4.0, 3.6 & 3.0 em todos os produtos atualmente suportados, incluindo as dependências onde se fizerem necessárias, tais como IPA, OpenChange e bibliotecas libtalloc, libtdb and libevent.

Configurações afetadas

Uma infraestrutura deActive Directory com um servidor Samba como um membro de domínio está vulnerável a esta falha. Um ataque "man-in-the-middle", pode interceptar o tráfego de DCE/RPC entre o membro de domínio e o controlador de domínio para imitar o cliente e conseguir acesso aos mesmos privilégios de uma conta de cliente autenticado.
Qualquer servidor Samba configurado como um servidor de arquivos ou impressão is também vulnerável a esta falha.

Atualizações para os produtos afetados

Red Hat Enterprise Linux 4 - Extended Lifecycle Support* Samba (v3.0) RHSA-2016:0625
Red Hat Enterprise Linux 5 Samba (v3.0) RHSA-2016:0621
Red Hat Enterprise Linux 5 Samba3x (v3.6) RHSA-2016:0613
Red Hat Enterprise Linux 5.6 Long Life Samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.6 Long Life Samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 5.9 Long Life Samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.9 Long Life Samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 6 Samba (v3.6) RHSA-2016:0611
Red Hat Enterprise Linux 6 Samba4 (v4.0) RHSA-2016:0612
Red Hat Enterprise Linux 6.2 Advanced Update Support** Samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.2 Advanced Update Support** Samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.4 Advanced Update Support** Samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.4 Advanced Update Support** Samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.5 Advanced Update Support** Samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.5 Advanced Update Support** Samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.6 Extended Update Support Samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.6 Extended Update Support Samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 7 Samba (v4.2) RHSA-2016:0612
Red Hat Enterprise Linux 7.1 Extended Update Support Samba (v4.1) RHSA-2016:0618
Red Hat Gluster Storage 3 (EL6) Samba (v4.2) RHSA-2016:0614
Red Hat Gluster Storage 3 (EL7) Samba (v4.2) RHSA-2016:0614

*Uma subscrição ELS ativa é necessária para ter acesso a essa correção no RHEL 4. Favor entrar em contato com a equipe de vendas Red Hat ou com seu representante de vendas para mais informações caso sua conta não tenha uma subscrição ELS ativa.

O que é o Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

**Uma subscrição AUS ativa é necessária para ter acesso a essa correção no RHEL 6.X AUS.

Mitigação

O risco pode ser reduzido ao não utilizar contas privilegiadas para acessar serviços SMB/CIFS até que um pacote contendo a correção seja aplicado.

Resolução

Nova opção de configuração do smb.conf
Esta atualização apresenta a seguinte nova opção de configuração de arquivo smb.conf:
allow dcerpc auth level connect (G)
Esta opção controla se os serviços DCE/RPC podem ser usados com DCERPC_AUTH_LEVEL_CONNECT, que fornece autenticação, mas não por integridade da mensagem (SIGN) ou proteção de privacidade (SEAL).
Algumas interfaces como SAMR, LSARPC, e netlogon possuem o valor padrão pré-definido "no"; epmapper, mgmt e rpcecho possuem o valor padrão pré-definido "yes".
O comportamento pode ser sobrescrito pelo nome da interface (por exemplo, lsarpc, netlogon, samr, srvsvc, winreg, ou wkssvc) por meio da especificação 'allow dcerpc auth level connect:interface = yes'.
Esta opção abre precedentes a qualquer implementação de restrições específicas. Por exemplo:
  • Os protocolos drsuapi e backupkey requerem DCERPC_AUTH_LEVEL_PRIVACY;
  • O protocolo dnsserver requer DCERPC_AUTH_LEVEL_INTEGRITY.
Valor padrão: allow dcerpc auth level connect = no
Exemplo: allow dcerpc auth level connect = yes

Share

Red Hat Customer Portal Twitter Facebook

Comments