Sambaプロジェクトについて聞いたことがありますか? これは、LinuxおよびUnixマシンで使用され、Windowsファイルおよび印刷サービスで動作する人気のあるオープンソースプロジェクトです。. このプロジェクトでは、Windowsサーバーへの接続を可能にするクライアントとして機能できます。, また、Windowsクライアントからの接続を受け入れるように設計されたサーバー.
Sambaは、ログオンを処理するためのActiveDirectoryサーバーとして使用できます。, Windowsネットワークの認証とアクセス制御.
リモートコード実行 (RCE) SambaのSMB実装で見つかったバグ
ここで興味深い事実は、Sambaの名前がSMBに由来していることです, またはサーバーメッセージブロック, これは、WannaCryランサムウェアの発生により最近ニュースになっています. この攻撃は、Windowsのすでに有名なSMBの欠陥を介して、ネットワークからネットワークに自動的に拡散するワームのような動作をする自己拡散型ランサムウェアに基づいていました。.
結局のところ, この欠陥は長い間存在していました, NSAによってのみ発見され、EternalBlueと吹き替えられました, ShadowBrokersが公開するまで. ハッキンググループは、リークされた可能性が最も高いデータのキャッシュでそれを何らかの方法で取得しました, 違反または盗難.
すでにご存知のように, MicrosoftはSMBの欠陥にパッチを適用しましたが、ハッカーはその詳細を公開することにしました, 他のいくつかの盗まれたデータと一緒に. WannaCryの発生は、サイバー犯罪の世界ではユニークまたは目に見えないものであると考える人々, 最近、同様のワームのような攻撃が観察されているため、間違っています。 1988, からのスラマー 2003, と悪名高いConfickerから 2008.
そしてここでの悪いニュースは、Sambaなどのクロスプラットフォームのおかげです, SMBの欠陥とWindowsファイル共有サービスによって引き起こされるネットワークセキュリティホールは、Windowsだけに限定されません. それが判明したとして, リモートでコードが実行されるバグがありました – 識別された CVE-2017-7494として – SambaのSMB実装で.
CVE-2017-7494に関する詳細
- タイプ: 書き込み可能な共有からのリモートコード実行
- 影響を受けるバージョン: からのSambaのすべてのバージョン 3.5.0 以降
- 説明: 悪意のあるクライアントがアップロードして、smbdサーバーに書き込み可能な共有から共有ライブラリを実行させる可能性があります.
理論的には, この脆弱性は、別のワーム可能な攻撃に展開される可能性があります, または、侵害されたマシンが新しい被害者を探してさらに被害を与える自動化されたタイプの侵入, ソフォスの研究者による説明.
CVE-2017-7494は、次のようなシナリオでトリガーできます:
- 脆弱なSambaサーバーで書き込み可能なネットワーク共有を見つけます;
- 共有オブジェクトと呼ばれるLinux/Unixプログラムをコピーします (.soファイル) その書き込み可能なシェアに.
これは、マルウェアが悪意のある.soプログラムファイルを介して標的のマシンに導入されるポイントです。, しかし、それは何もしていません. ただし、バグのおかげで、リモートの攻撃者がSambaサーバーをだまして.soファイルをロードして実行させる可能性があります。, 研究者 説明:
- 攻撃しているサーバーにアップロードされたファイルのローカルファイル名を推測します. (共有を介したリモート名は、\ SERVER SHAREdodgy.soの場合があります。; そのファイルは、サーバーのローカルディレクトリツリーに次のように格納される可能性があります。, いう, /var / samba / share/dodgy.so。)
- Sambaに特別に不正な形式のIPCリクエストを送信する (プロセス間通信, またはコンピュータ間メッセージ) フルパス名でマルウェアのローカルコピーを識別します.
- 不正な形式のIPC要求は、サーバーをだまして、ローカルに格納されたプログラムファイルをロードして実行させます。, そのファイルが信頼できない外部ソースからのものであったとしても.
研究者は、すべてのSMBサービスが悪用できるわけではないため、CVE-2017-7494は悪用が難しいと指摘しています. でも, ある程度のリスクがあります:
Sambaをインストールしているが、他のファイル共有に接続するためのクライアントとしてのみ使用している場合, 詐欺師が接続するためのリスニングサーバーがないため、エクスプロイトは使用できません.
Samba共有を開いているが、読み取り専用に構成されている場合 (たとえば、Sambaを使用してネットワーク上のWindowsPCに更新を公開している場合), 詐欺師はマルウェアファイルをアップロードして攻撃を開始できないため、このエクスプロイトは使用できません。.
書き込み可能なSamba共有があるが、Samba構成オプションを設定している場合nt pipe support = no, 詐欺師は、アップロードしたばかりのマルウェアを起動するための不正な形式のIPC要求を送信できないため、このエクスプロイトは使用できません。.
最後に, Sambaバージョンをに更新するユーザー 4.6.4 また 4.5.10/ 4.4.14 古いリリースの場合, エクスプロイトはトリガーされません. 理由について, Sambaは、アップロードされたマルウェアをローカルパス名で参照する不正な形式のIPCリクエストを受け入れません.
結論は, ハッカー側ではSMBサービスへの関心が依然として非常に高いため、ユーザーはネットワークを確認することをお勧めします。.