Har du hørt om Samba-projektet? Det er en populær open source-projekt, der bruges på Linux og Unix-maskiner, så de fungerer med Windows fil- og udskriftstjenester. Projektet kan du arbejde som en klient, der giver dig mulighed for at oprette forbindelse til Windows servere, samt en server designet til at acceptere forbindelser fra Windows-klienter.
Samba kan bruges som en Active Directory-server til at håndtere logon, autentificering og adgangskontrol for et Windows-netværk.
En fjernbetjening af kode (RCE) Bug Fundet i Sambas SMB Implementering
Et interessant faktum er, at Samba navn stammer fra SMB, eller Server Message Block, der har været hele nyheden sidst på grund af den WannaCry ransomware udbrud. Angrebet var baseret på en selv-spreder ransomware med orm-lignende opførsel, der spreder sig automatisk fra netværk til netværk via den allerede berømte SMB brist i Windows.
Da det viste sig, denne fejl havde været til stede i lang tid, kun opdaget af NSA og døbt EternalBlue, indtil ShadowBrokers gjort det offentlige. Den hacking gruppe eller anden måde fået det i en cache af data, der blev mest sandsynligt lækket, overtrådt eller stjålet.
Som du allerede ved, Microsoft har nu lappet SMB brist, men hackere har besluttet at offentliggøre sine detaljer, sammen med nogle andre stjålne data. Folk, der tror, at WannaCry udbruddet var noget unikt eller uset i cyberkriminalitet verden, er forkert, fordi lignende ormelignende angreb er blevet observeret i den seneste tid - Internet Worm fra 1988, slammer fra 2003, og den berygtede Conficker fra 2008.
Og den dårlige nyhed her er, at takket være cross-platforme som Samba, netværk sikkerhedshuller udløst af SMB brist og Windows fildelingstjenester er ikke kun begrænset til Windows. Da det viser sig,, der har været en fjernkørsel af programkode bug – identificeret som CVE-2017-7494 – i Sambas SMB implementering.
Detaljer om CVE-2017-7494
- Type: Fjernkørsel af programkode fra en skrivbar aktie
- versioner påvirket: Alle versioner af Samba fra 3.5.0 fremefter
- Beskrivelse: Ondsindede kunder kan uploade og forårsage smbd serveren til at udføre et delt bibliotek fra en skrivbar aktie.
Teoretisk, denne sårbarhed kunne indsættes i en anden wormable angreb, eller en automatiseret type indbrud, hvor en kompromitteret Maskinen søger efter nye ofre til at udføre yderligere skade, som forklaret af Sophos forskere.
CVE-2017-7494 kan udløses i et scenarie som følgende:
- Find en skrivbar netværksshare på en sårbar Samba-server;
- Kopier en Linux / Unix program kaldet en delt objekt (en .so fil) ind i det skrivbare aktie.
Det er det punkt, hvor malware er introduceret til den målrettede maskinen via en ondsindet .so programfil, men det gør ikke noget. Takket være fejlen dog en angriber kan narre Samba server i lastning og kører .so fil, forskere Forklar:
- Gæt den lokale filnavnet på den uploadede fil på serveren, du angriber. (Fjernbetjeningen navn via aktie kunne være \ server share dodgy.so; at filen kan ende i serverens lokale mappetræ som, sige, /var / samba / share / dodgy.so.)
- Send Samba en specielt misdannet IPC anmodning (InterProcess kommunikation, eller computer-til-computer-meddelelse) der identificerer den lokale kopi af malware ved fulde sti navn.
- De misdannede IPC anmodning tricks serveren i lastning og kører lokalt lagrede program fil, selvom den pågældende fil kom fra en upålidelig ekstern kilde.
Forskere bemærke, at CVE-2017-7494 er sværere at udnytte, fordi ikke alle SMB-tjeneste kan udnyttes. Men, der er en vis risiko:
Hvis du har Samba installeret, men kun bruger det som en klient til at forbinde sig til andre fildeling, exploit kan ikke bruges, fordi der ikke er noget at lytte server til en skurk til at oprette forbindelse til.
Hvis du har Samba aktier åbne, men de er konfigureret skrivebeskyttet (for eksempel, hvis du bruger Samba til at udgive opdateringer til Windows-pc'er på netværket), exploit kan ikke være usedbecause skurke kan ikke overføre deres malware fil for at starte angreb.
Hvis du har skrivbare Samba aktier, men du har indstillet Samba konfigurationsmuligheden nt rør support = nej, exploit kan ikke bruges, fordi de skurke ikke kan sende de misdannede IPC anmodninger om at lancere den malware, de netop uploadet.
Endelig, brugere, der opdaterer deres Samba version 4.6.4 eller 4.5.10/ 4.4.14 for ældre udgivelser, Den udnytter ikke vil blive udløst. Med hensyn til hvorfor, Samba vil ikke acceptere den misdannet IPC anmodning henvise uploadet malware ved sin lokale stinavn.
Afslutningsvis, brugere rådes til at kontrollere deres netværk, fordi interessen for SMB-tjenester er stadig ret højt på hackere side.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: