Avez-vous entendu parler du projet Samba? C'est un projet open source populaire qui est utilisé sur des machines Linux et Unix afin qu'ils travaillent avec fichiers Windows et les services d'impression. Le projet vous permet de travailler en tant que client qui vous permet de vous connecter aux serveurs Windows, ainsi qu'un serveur conçu pour accepter les connexions des clients de Windows.
Samba peut être utilisé comme un serveur Active Directory pour gérer l'ouverture de session, authentification et contrôle d'accès d'un réseau Windows.
Un code à distance (RCE) Bug Trouvé dans la mise en œuvre des PME de Samba
Un fait intéressant est que le nom de Samba provient de SMB, ou Server Message Block, qui a été partout dans les nouvelles ces derniers temps en raison de l'épidémie WannaCry ransomware. L'attaque a été basée sur une ransomware auto-propagation avec un comportement semblable à un ver qui se propage automatiquement d'un réseau à travers la faille SMB déjà célèbre dans Windows.
Comme il est apparu, cette faille avait été présent depuis longtemps, seulement découvert par la NSA et baptisée EternalBlue, jusqu'à ce que les ShadowBrokers ont rendu publics. Le groupe a obtenu le piratage en quelque sorte dans un cache de données qui ont été le plus probable fuite, violé ou volé.
Comme vous le savez déjà, Microsoft a corrigé la faille SMB, mais les pirates décidé de faire ses détails publics, ainsi que d'autres données volées. Les gens qui pensent que l'épidémie WannaCry était quelque chose d'unique ou invisible dans le monde de la cybercriminalité, ont tort parce que les attaques de vers comme similaires ont été observés dans un passé récent - le ver Internet de 1988, Slammer de 2003, et le Conficker infâme 2008.
Et les mauvaises nouvelles ici est que grâce à contre-plateformes telles que Samba, failles de sécurité réseau déclenchées par la faille SMB et des services de partage de fichiers Windows ne sont pas limités uniquement à Windows. Comme il s'avère, il y a eu un bug d'exécution de code à distance – identifié comme CVE-2017-7494 – dans la mise en œuvre des PME de Samba.
Détails sur CVE-2017-7494
- Type: exécution de code à distance à partir d'une part inscriptible
- versions affectées: Toutes les versions de Samba de 3.5.0 en avant
- Description: Les clients malveillants peuvent télécharger et faire en sorte que le serveur smbd pour exécuter une bibliothèque partagée d'une part inscriptible.
Théoriquement, cette vulnérabilité pourrait être déployée dans une autre attaque wormable, ou un type d'intrusion automatisée où une recherche de machines pour de nouvelles victimes compromis pour effectuer d'autres dommages, comme expliqué par les chercheurs de Sophos.
CVE-2017-7494 peut être déclenchée dans un scénario comme suit:
- Recherchez un partage réseau sur un serveur inscriptible Samba vulnérable;
- Copier un programme Linux / Unix appelé un objet partagé (un fichier .so) dans cette part inscriptible.
Tel est le point où le logiciel malveillant est introduit dans la machine ciblée via un fichier de programme malveillant .donc, mais il ne fait rien. Merci au bug mais un attaquant distant pourrait tromper le serveur Samba dans le chargement et l'exécution du fichier .so, des chercheurs Explique:
- Devinez le nom local du fichier téléchargé sur le serveur que vous attaquez. (Le nom à distance via le partage peut être \ server share dodgy.so; ce fichier pourrait finir dans l'arborescence de répertoire local du serveur comme, dire, /var / samba / share / dodgy.so.)
- Envoyer une demande Samba IPC spécialement malformé (communication interprocessus, ou un ordinateur à ordinateur un message) qui identifie la copie locale du logiciel malveillant par nom de chemin complet.
- Les astuces de demande malformés IPC du serveur en chargement et en exécutant le fichier de programme stocké localement, même si ce fichier provient d'une source externe non sécurisé.
Les chercheurs notent que CVE-2017-7494 est plus difficile à exploiter car tous les services SMB est exploitable. Cependant, il y a un certain nombre de risques:
Si vous avez installé Samba mais utilisez uniquement en tant que client de se connecter à d'autres partages de fichiers, l'exploit ne peut pas être utilisé parce qu'il n'y a pas de serveur d'écoute pour un escroc de se connecter à.
Si vous avez des partages Samba ouverts mais ils sont configurés en lecture seule (par exemple, si vous utilisez Samba pour publier des mises à jour vers Windows PC sur votre réseau), l'exploit ne peut pas être usedbecause les escrocs ne peuvent pas télécharger leur dossier pour lancer des programmes malveillants l'attaque.
Si vous avez inscriptibles partages Samba, mais vous avez défini l'option de configuration Samba support pipe nt = pas, l'exploit ne peut pas être utilisé parce que les escrocs ne peuvent pas envoyer les demandes IPC malformés pour lancer le logiciel malveillant qu'ils viennent téléchargés.
Enfin, les utilisateurs qui mettent à jour leur version Samba 4.6.4 ou 4.5.10/ 4.4.14 pour les versions plus anciennes, l'exploit ne sera pas déclenché. En ce qui concerne la raison pour laquelle, Samba n'acceptera la demande IPC malformé référence les logiciels malveillants téléchargés par son nom de chemin local.
En conclusion, les utilisateurs sont invités à vérifier leur réseau parce que l'intérêt dans les services SMB est encore assez élevé du côté des pirates.