¿Ha oído hablar del proyecto Samba? Es un proyecto de código abierto popular que se utiliza en las máquinas Linux y Unix para que trabajen con los servicios de archivos e impresión de Windows. El proyecto le permite trabajar como un cliente que le permite conectarse a los servidores de Windows, así como un servidor diseñado para aceptar conexiones de clientes de Windows.
Samba puede ser utilizado como un servidor de Active Directory para gestionar el inicio de sesión, autenticación y control de acceso para una red de Windows.
Una ejecución remota de código (RCE) Bug encontrado en la aplicación SMB de Samba
Un hecho interesante es que el nombre de Samba se deriva de SMB, o bloque de mensajes de servidor, que ha estado en todas las noticias últimamente debido al brote ransomware WannaCry. El ataque se basó en un ransomware auto-difusión con un comportamiento similar a un gusano que se propaga a sí mismo automáticamente de una red a través de la ya famosa falla de SMB en Windows.
Como se vio despues, esta falla había estado presente durante mucho tiempo, Sólo descubierto por la NSA y doblado EternalBlue, hasta que los ShadowBrokers hicieron pública. El grupo de hackers de alguna manera lo obtuvo en una memoria caché de datos que se han filtrado más probable, violado o robado.
Como tu ya sabes, Microsoft ha parcheado el defecto SMB pero los piratas informáticos decidido hacer pública sus detalles, junto con algunos otros datos robados. Las personas que piensan que el brote WannaCry era algo único o invisibles en el mundo ciberdelincuencia, se equivocan porque los ataques similares como los gusanos se han observado en el pasado reciente - el gusano de Internet desde 1988, Slammer de 2003, y el famoso Conficker 2008.
Y la mala noticia es que gracias a las plataformas cruzadas, como Samba, los agujeros de seguridad de red provocados por la falla de SMB y servicios de intercambio de archivos de Windows no se limitan sólo a Windows. Pues resulta que, se ha producido un error de ejecución remota de código – identificado como CVE-2017-7494 – en la implementación de SMB de Samba.
Los detalles sobre CVE-2017-7494
- Escribe: la ejecución de código remoto desde un recurso compartido puede escribir
- Las versiones afectadas: Todas las versiones de Samba desde 3.5.0 en adelante
- Descripción: clientes maliciosos pueden cargar y hacer que el servidor smbd para ejecutar una biblioteca compartida desde un recurso compartido puede escribir.
teóricamente, esta vulnerabilidad podría ser desplegado en otro ataque wormable, o un tipo automatizado de intrusión, donde búsquedas máquina comprometida para nuevas víctimas para llevar a cabo un mayor daño, según lo explicado por los investigadores de Sophos.
CVE-2017-7494 puede ser activado en un escenario como el siguiente:
- Localizar un recurso compartido de red se puede escribir en el servidor Samba vulnerables;
- Copiar un programa de Linux / Unix llamado un objeto compartido (un archivo .so) en que la parte grabable.
Este es el punto en el que se introduce el programa viral en la máquina objetivo a través de un archivo de programa malicioso .so, pero no está haciendo nada. Gracias al insecto sin embargo, un atacante remoto podría engañar al servidor Samba en cargar y ejecutar el archivo .so, investigadores explique:
- Adivina el nombre del archivo local del archivo cargado en el servidor que están atacando. (El nombre remoto a través de la participación podría ser \ server share dodgy.so; ese archivo podría terminar en el árbol de directorio local del servidor como, decir, /var / samba / share / dodgy.so.)
- Enviar una solicitud de Samba IPC especialmente malformada (la comunicación entre procesos, o un ordenador a ordenador mensaje) que identifica la copia local del malware ruta completa.
- Los solicitud mal formada trucos IPC del servidor en la carga y ejecuta el archivo de programa almacenado localmente, a pesar de que el archivo procede de una fuente externa que no se confía.
Los investigadores señalan que CVE-2017-7494 es más difícil de explotar porque no todos los servicios SMB es explotable. Sin embargo, hay una cierta cantidad de riesgo:
Si tiene instalado Samba pero sólo lo está utilizando como un cliente para conectarse a otras partes del archivo, el exploit no se puede utilizar porque no hay un servidor de escucha para un ladrón para conectar a.
Si tiene recursos compartidos de Samba abiertas pero se configuran de sólo lectura (por ejemplo, si está utilizando Samba publicar cambios a PC con Windows en su red), el exploit no puede ser usedbecause los ladrones no pueden subir su archivo de software malicioso para iniciar el ataque.
Si tiene recursos compartidos de Samba de escritura, pero que ha configurado la opción de configuración de Samba soporte de la tubería nt = no, No se puede utilizar el exploit porque los ladrones no pueden enviar las solicitudes IPC malformados para poner en marcha el programa malicioso que se acaba de cargar.
Por último, usuarios que actualizan su versión de Samba a 4.6.4 o 4.5.10/ 4.4.14 para versiones anteriores, el exploit no será activado. Como qué, Samba no aceptará la solicitud IPC malformado se refiere el malware cargado por su nombre de ruta de acceso local.
En conclusión, Se aconseja a los usuarios para comprobar su red, ya que el interés por los servicios SMB es todavía muy alta en el lado de los hackers.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: