Haben Sie schon von dem Samba-Projekt gehört,? Es ist ein beliebtes Open-Source-Projekt, das auf Linux und Unix-Maschinen verwendet wird, so dass sie mit Windows-Datei- und Druckdienste arbeiten. Das Projekt ermöglicht es Ihnen als Client arbeiten, die Sie auf Windows-Servern verbinden können, sowie ein Server-Verbindungen entworfen von Windows-Clients akzeptieren.
Samba kann als Active Directory-Server verwendet werden, Anmelde zu handhaben, Authentifizierung und Zugriffskontrolle für ein Windows-Netzwerk.
Eine Remotecodeausführung (RCE) Fehler gefunden in Samba SMB-Implementierung
Eine interessante Tatsache ist hier, dass Samba den Namen von SMB Stielen, oder Server Message Block, die überall in den Nachrichten in letzter Zeit aufgrund des WannaCry Ransomware Ausbruch hat. Der Angriff wurde auf der Grundlage eine selbstverlaufRansomWare mit wurmähnlichem Verhalten, das mich aus dem Netzwerk automatisch verteilt über die bereits bekannten SMB Fehler in Windows zu vernetzen.
Wie sich herausgestellt hat, dieser Fehler war für eine lange Zeit präsent, nur durch die NSA entdeckt und genannt EternalBlue, bis die ShadowBrokers machte es öffentlich. Die Hacker-Gruppe erhalten irgendwie ist es in einem Cache von Daten, die am wahrscheinlichsten war durchgesickert, verletzt oder gestohlen.
Wie du bereits weißt, Microsoft hat nun den SMB-Fehler ausgebessert, aber der Hacker beschlossen, die Details öffentlich zu machen, zusammen mit einigen anderen gestohlenen Daten. Leute, die denken, dass der WannaCry Ausbruch etwas Einmaliges oder ungesehen in der Cyber-Kriminalität Welt, falsch ist, weil ähnliche wurmartige Angriffe haben in der jüngsten Vergangenheit beobachtet worden - von dem Internet-Wurm 1988, Slammer aus 2003, und die berüchtigten Conficker aus 2008.
Und die schlechte Nachricht dabei ist, dass dank Cross-Plattformen wie Samba, Netzwerk Sicherheitslücken durch die SMB-Fehler und Windows-Dateifreigabedienste ausgelöst werden, nicht nur auf Windows beschränkt. Wie sich herausstellt, es hat eine Remotecodeausführung Fehler gewesen – identifiziert als CVE-2017-7494 – in Samba SMB-Implementierung.
Details zu CVE-2017-7494
- Art: Remotecodeausführung von einem beschreibbaren Aktie
- Versionen betroffen: Alle Versionen von Samba aus 3.5.0 weiter
- Beschreibung: Bösartige Kunden können die smbd-Server hochladen und verursachen eine gemeinsame Bibliothek von einem beschreibbaren Anteil auszuführen.
Theoretisch, Diese Sicherheitsanfälligkeit kann in einem anderen wormable Angriff eingesetzt werden, oder eine automatisierte Art des Eindringens, wo eine kompromittierte Maschine sucht nach neuen Opfern weitere Schäden durchzuführen, wie von Sophos Forscher erklärt.
CVE-2017-7494 kann in einem Szenario, wie die folgenden ausgelöst werden:
- Suchen Sie eine beschreibbaren Netzwerkfreigabe auf einem anfälligen Samba-Server;
- Kopieren eines Linux / Unix-Programm namens ein gemeinsames Objekt (eine .so-Datei) in diesem beschreibbaren Anteil.
Dies ist der Punkt, an dem die Malware über eine böswillige .so Programmdatei auf die Zielmaschine eingeführt wird,, aber es tut nichts. Dank der Fehler jedoch ein Angreifer kann den Samba-Server in Laden Trick und die .so-Datei ausgeführt wird, Forscher erklären:
- Raten Sie das lokale Dateinamen der hochgeladenen Datei auf dem Server Sie angreifen. (Der Remote-Namen über die Aktie könnte \ SERVER SHARE sein dodgy.so; diese Datei kann bis in den Server des lokalen Verzeichnisbaum Ende als, sagen, /var / samba / share / dodgy.so.)
- Senden Samba eine speziell malformed IPC Anfrage (Interprozesskommunikation, oder Computer-zu-Computer-Nachricht) dass identifiziert die lokale Kopie der Malware durch vollständige Pfadnamen.
- Die fehlerhafte IPC Anfrage Tricks der Server in Laden und Ausführen des lokal gespeicherten Programmdatei, obwohl diese Datei stammt aus einer nicht vertrauenswürdigen externen Quelle.
Die Forscher beachten Sie, dass CVE-2017-7494 schwieriger zu nutzen, da nicht jeder SMB-Dienst ausnutzbar ist. Jedoch, gibt es ein gewisses Risiko:
Wenn Sie Samba installiert haben, sondern verwenden sie nur als Client in anderen Dateifreigaben verbinden out, der Exploit kann nicht verwendet werden, weil es keine Abhör Server für einen Gauner zu verbinden ist.
Wenn Sie Samba-Freigaben offen, aber sie sind so konfiguriert, read-only (wenn Sie zum Beispiel verwendet Samba zu veröffentlichen Updates für Windows-PCs in Ihrem Netzwerk), der Exploit nicht usedbecause die Gauner sein können, können ihre Malware-Datei nicht laden, den Angriff zu starten.
Wenn Sie beschreibbare Aktien Samba, aber sie haben die Samba-Konfigurationsoption nt Rohrstütze gesetzt = no, der Exploit kann nicht verwendet werden, da die Gauner können die fehlerhaften IPC-Anforderungen nicht senden, um die Malware starten sie nur hochgeladen.
Schließlich, Benutzer, die ihre Samba-Version aktualisieren, um 4.6.4 oder 4.5.10/ 4.4.14 für ältere Versionen, der Exploit nicht ausgelöst. Wie, warum, Samba wird die fehlerhafte IPC Anfrage bezieht die hochgeladene Malware durch seinen lokalen Pfadnamen nicht akzeptieren.
Abschließend, Nutzer sollten ihre Netzwerke, da das Interesse an SMB-Diensten überprüfen, noch recht hoch auf der Hacker-Seite.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: