2020-2024: Samba: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten

Historie:

Version 1 (2020-09-17 19:44)

Neues Advisory

Version 2 (2020-09-18 18:29)

Das Samba-Projekt informiert über die Schwachstelle im Netlogon-Protokoll und stellt klar, dass Samba nur dann betroffen ist, wenn es als Domain Controller (DC) verwendet wird (am schwerwiegendsten als Active Directory DC, aber auch als 'classic/NT4-style'-DC). Installationen mit Samba als Dateiserver sind nicht direkt betroffen, es können aber Konfigurationsänderungen erforderlich sein, um weiterhin mit Domain Controllern kommunizieren zu können. Das Samba-Projekt stellt die Versionen 4.10.18, 4.11.13 und 4.12.7 sowie Patches für die Versionen 4.10.17, 4.11.12 und 4.12.6 als Sicherheitsupdates bereit, um die Schwachstelle zu beheben. Die Versionen 4.10.18 und 4.11.13 sind aktuell auf der Webseite des Herstellers noch nicht veröffentlicht, sollten aber im Laufe des Tages folgen.

Version 3 (2020-09-21 12:32)

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form der Pakete 'samba-4.11.13-0.fc31' und 'samba-4.12.7-0.fc32' im Status 'testing' bereit, um die Schwachstelle zu adressieren.

Version 4 (2020-09-23 18:57)

Für SUSE OpenStack Cloud 7, 8 und 9, SUSE OpenStack Cloud Crowbar 8 und 9 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP2, 12 SP3, 12 SP4 und 15, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5 und 15 LTSS, Software Development Kit 12 SP5, High Availability 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15 und 15 SP1, High Performance Computing 15 ESPOS und 15 LTSS, Module for Python2 15 SP1, Module for Basesystem 15 SP1 sowie Storage 5 und 6 stehen Sicherheitsupdates für 'samba' bereit, um die ZeroLogon-Schwachstelle zu beheben.

Version 5 (2020-09-24 11:58)

Für die SUSE Linux Enterprise Produkte High Availability, Module for Python2 und Module for Basesystem jeweils in Version 15 SP2 stehen Sicherheitsupdates für 'samba' bereit, um die ZeroLogon-Schwachstelle zu beheben.

Version 6 (2020-09-24 18:16)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'samba' bereit, um die ZeroLogon-Schwachstelle zu beheben.

Version 7 (2020-09-25 17:40)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'samba' bereit, um die ZeroLogon-Schwachstelle zu beheben.

Version 8 (2020-10-01 10:58)

Canonical stellt für Ubuntu 20.04 LTS erstmals sowie Ubuntu 18.04 LTS und Ubuntu 16.04 LTS erneut Sicherheitsupdates für 'samba' zur Verfügung. Während die vorherigen Updates die ZeroLogon-Schwachstelle durch Änderung der Voreinstellung 'server schannel' umgangen haben, erfolgen nun zusätzliche Verbesserungen. Um Kompatibilität mit älteren Geräten zu gewährleisten, erlaubt Samba nun für einzelne Maschinen auch unsichere Netlogon-Konfigurationen (siehe https://www.samba.org/samba/security/CVE-2020-1472.html). Weiterhin werden zusätzliche Server-Prüfungen in der Client-spezifischen Challenge eingeführt, um einen gewissen Schutz zu bieten, wenn 'server schannel = no/auto' gesetzt ist, und 'false-positive'-Ergebnisse zu vermeiden, wenn der Proof-of-Concept Exploit ausgeführt wird.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

In dem durch Samba implementierten NetLogon-Protokoll existiert eine Schwachstelle aufgrund der fehlerhaften Handhabung des Authentisierungsschemas. Ein entfernter Angreifer kann die Schwachstelle ausnutzen, um ein Authentisierungs-Token zu fälschen und die Anmeldedaten (Credentials) eines Domain-Administrators stehlen, wodurch er Administratorrechte auf dem Domain Controller erlangt.

Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 ESM Sicherheitsupdates für 'samba' bereit, um die Schwachstelle zu adressieren. Hiermit wird die Einstellung 'server schannel' verändert auf die Voreinstellung 'yes' anstelle von 'auto', wodurch ein sicherer Netlogon-Kanal erzwungen wird.

Der Hersteller weist insbesondere darauf hin, dass die Einstellungen 'require schannel = no' und 'require schannel = auto' nicht sicher sind und die vollständige Kompromittierung der Domäne ermöglichen können. Die Einstellung 'require schannel = yes' ist erst seit Version 4.8 der Software standardmäßig aktiviert. Durch diese Einstellung kann es zu einer Inkompatibilität mit älteren Geräten kommen. Ein zukünftiges Sicherheitsupdate soll die Einstellung mit feinerer Granularität zu kontrollieren ermöglichen.

SUSE gibt an, dass SUSE Linux Enterprise Server 12 und später von der Schwachstelle betroffen ist und empfiehlt, den angegebenen Workaround zu verwenden, bis Patches bereitgestellt werden können.

Schwachstellen:

CVE-2020-1472

Schwachstelle in NetLogon ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.