Avete sentito parlare del progetto Samba? Si tratta di un progetto open source popolare che viene utilizzato su macchine Linux e Unix in modo che funzionino con i servizi di file e stampa di Windows. Il progetto permette di lavorare come un client che permette di connettersi a server di Windows, così come un server progettato per accettare connessioni dai client Windows.
Samba può essere utilizzato come un server Active Directory per gestire l'accesso, controllo di autenticazione e di accesso per una rete Windows.
Un'esecuzione di codice remoto (RCE) Bug che, nella realizzazione SMB Samba
Un fatto interessante è che il nome di Samba deriva da SMB, o Server Message Block, che è stato in tutto il notizie ultimamente a causa dello scoppio ransomware WannaCry. L'attacco è stato basato su un ransomware auto-diffusione con un comportamento vermiforme che si diffonde automaticamente da una rete all'altra tramite la già famosa falla SMB in Windows.
Come si è scoperto, questo difetto era presente per un lungo periodo di tempo, solo scoperto dal NSA e doppiato EternalBlue, fino a quando i ShadowBrokers reso pubblico. Il gruppo di hacker in qualche modo ottenuto in una cache di dati che è stato molto probabilmente trapelata, violato o rubato.
Come già sai, Microsoft ha ora patch la falla SMB, ma gli hacker deciso di rendere pubblica i suoi dettagli, insieme ad alcuni altri dati rubati. Le persone che pensano che l'epidemia WannaCry era qualcosa di unico o invisibile al mondo il crimine informatico, sono sbagliato perché simili attacchi di worm-like sono stati osservati nel recente passato - l'Internet Worm da 1988, Slammer da 2003, e il famigerato Conficker da 2008.
E la cattiva notizia è che grazie al cross-piattaforme come Samba, buchi di sicurezza di rete attivati dalla falla SMB e servizi di file sharing di Windows non si limitano solo a Windows. Come risulta, v'è stato un codice remoto esecuzione insetto – identificato come CVE-2017-7494 – nell'implementazione SMB di Samba.
Dettagli sulla CVE-2017-7494
- Tipo: l'esecuzione di codice remoto da una condivisione scrivibile
- versioni interessate: Tutte le versioni di Samba da 3.5.0 avanti
- Descrizione: clienti malintenzionati possono caricare e causare il server smbd per eseguire una libreria condivisa da una condivisione scrivibile.
teoricamente, questa vulnerabilità potrebbe essere implementato in un altro attacco wormable, o un tipo automatizzato di intrusione, dove un ricerca macchina compromessa per nuove vittime di eseguire ulteriori danni, come spiegato dai ricercatori Sophos.
CVE-2017-7494 può essere attivato in uno scenario come il seguente:
- Individuare una condivisione di rete scrivibile su un server Samba vulnerabili;
- Copiare un programma Linux / Unix chiamato un oggetto condiviso (un file .so) in quella condivisione scrivibile.
Questo è il punto in cui il malware viene introdotto alla macchina mirato tramite un file di programma dannoso .so, ma non sta facendo nulla. Grazie al bug comunque un aggressore remoto potrebbe ingannare il server Samba in carico e l'esecuzione del file .so, ricercatori spiegare:
- Indovina il nome del file locale del file caricato sul server che stanno attaccando. (Il nome remoto tramite la quota potrebbe essere \ server share dodgy.so; quel file potrebbe finire nella struttura di directory locale del server come, dire, /var / samba / share / dodgy.so.)
- Invia una richiesta di Samba IPC appositamente malformati (comunicazione tra processi, o un computer-to-computer messaggio) che identifica la copia locale del malware in base al nome completo del percorso.
- Le richiesta errata trucchi IPC il server in carico e in esecuzione il file di programma memorizzato localmente, anche se il file proviene da un sito esterno non attendibile.
I ricercatori di notare che CVE-2017-7494 è più difficile da sfruttare, perché non tutti i servizi SMB è sfruttabile. Tuttavia, v'è una certa quantità di rischio:
Se hai installato Samba, ma sono solo usando come un client di connettersi ad altre condivisioni di file, l'exploit non può essere utilizzato perché non v'è alcun server di ascolto per un truffatore per la connessione a.
Se si dispone di condivisioni Samba aperte, ma sono configurati in sola lettura (ad esempio, se si sta utilizzando Samba di pubblicare aggiornamenti di Windows PC in rete), l'exploit non può essere usedbecause i truffatori non possono caricare i propri file della minaccia per iniziare l'attacco.
Se si dispone di azioni scrivibili Samba, ma è stata impostata l'opzione di configurazione supporto del tubo nt Samba = no, l'exploit non può essere utilizzato perché i truffatori non possono inviare le richieste IPC malformati per lanciare il malware che hanno appena caricato.
Infine, gli utenti che aggiornano la loro versione di Samba a 4.6.4 o 4.5.10/ 4.4.14 per le versioni più vecchie, l'exploit non sarà attivato. Quanto al motivo per, Samba non accetterà la richiesta di IPC malformata riferimento il malware caricato con il suo nome percorso locale.
Insomma, gli utenti sono invitati a verificare la loro rete perché l'interesse nei servizi SMB è ancora abbastanza alto dalla parte degli hacker.