Heb je gehoord van het Samba-project? Het is een populaire open source project dat wordt gebruikt op Linux en Unix-machines, zodat ze werken met Windows-bestand en print services. Het project kunt u werken als een client die het mogelijk maakt om verbinding te maken met Windows-servers, evenals een server die is ontworpen om verbindingen van Windows clients accepteren.
Samba kan worden gebruikt als een Active Directory-server om in te loggen behandelen, authenticatie en toegangscontrole voor een Windows-netwerk.
Een externe code worden uitgevoerd (RCE) Bug Gevonden in Samba SMB Implementation
Een interessant feit is dat de naam Samba komt voort uit SMB, of Server Message Block, die is overal in het nieuws de laatste tijd als gevolg van de WannaCry ransomware uitbraak. De aanval was gebaseerd op een self-verspreiden ransomware met worm-achtig gedrag dat zich automatisch verspreid van netwerk naar netwerk via de reeds bekende SMB fout in Windows.
Achteraf gezien, Deze fout was aanwezig voor een lange tijd, pas ontdekt door de NSA en het gedubde Eternalblue, totdat de ShadowBrokers maakte het openbaar. Het hacken van de groep, op onbekende wijze het in een cache van de gegevens die het meest waarschijnlijk was gelekt, geschonden of gestolen.
Zoals u al weet, Microsoft heeft nu gepatched de SMB fout maar de hackers besloten de gegevens openbaar te maken, samen met enkele andere gestolen gegevens. Mensen die denken dat de WannaCry uitbraak was iets unieks of ongezien in de cybercrime wereld, hebben ongelijk omdat soortgelijke wormachtige aanvallen zijn in het recente verleden zijn waargenomen - het Internet Worm van 1988, Slammer uit 2003, en de beruchte Conficker uit 2008.
En het slechte nieuws hier is dat dankzij cross-platforms zoals Samba, netwerkbeveiliging gaten veroorzaakt door de SMB fout en Windows file sharing diensten zijn niet alleen beperkt tot Windows. Zoals het blijkt, er een externe code bug geweest – geïdentificeerd zoals CVE-2017-7494 – in SMB implementatie Samba.
Details over CVE-2017-7494
- Type: Remote uitvoering van code uit een beschrijfbare aandeel
- versies beïnvloed: Alle versies van Samba uit 3.5.0 verder
- Beschrijving: Schadelijke klanten kunnen uploaden en de smbd server ervoor zorgen dat een gedeelde bibliotheek uitvoeren vanaf een beschrijfbare aandeel.
theoretisch, Deze kwetsbaarheid kan worden ingezet in andere aanslag-worm, of een geautomatiseerd soorten inbraak waarbij een gecompromitteerde machine zoekt naar nieuwe slachtoffers verdere schade voeren, zoals uitgelegd door Sophos onderzoekers.
CVE-2017-7494 kan worden geactiveerd in een scenario als het volgende:
- Zoek een beschrijfbare netwerk share op een kwetsbare Samba server;
- Kopieer een Linux / Unix-programma genaamd een gezamenlijk object (een .so bestand) in die beschrijfbare aandeel.
Dit is het punt waar de malware wordt ingevoerd om de beoogde machine via een kwaadaardig .so programma bestand, maar het is niets te doen. Dankzij de bug echter een externe aanvaller kan de Samba-server te verleiden tot het laden en draaien van de .so bestand, onderzoekers uitleggen:
- Denk dat de lokale bestandsnaam van het geüploade bestand op de server je aanvalt. (De afstandsbediening naam via het aandeel zou kunnen zijn \ server share dodgy.so; dat bestand zou kunnen eindigen in de lokale directory tree van de server als, zeg, /var / samba / share / dodgy.so.)
- Stuur Samba een speciaal-misvormde IPC verzoek (interprocescommunicatie, of computer-naar-computer-bericht) dat identificeert de lokale kopie van de malware door de volledige naam van het pad.
- De misvormde IPC verzoek trucs om de server in het laden en het uitvoeren van de lokaal opgeslagen programmabestand, hoewel dat bestand kwam uit een niet-vertrouwde externe bron.
Onderzoekers constateren dat CVE-2017-7494 is moeilijker te exploiteren omdat niet elk SMB service is exploiteerbare. Echter, Er is een zeker risico:
Als u Samba geïnstalleerd, maar zijn alleen met behulp van het als een client te verbinden met andere file shares, de exploit kan niet worden gebruikt omdat er geen luisterende server voor een oplichter om verbinding te maken.
Als u Samba aandelen open, maar ze zijn geconfigureerd alleen-lezen (bijvoorbeeld als u gebruik maakt van Samba om updates voor Windows-pc's in uw netwerk te publiceren), de exploit kan niet usedbecause de boeven kunnen hun malware bestand niet uploaden naar de aanval te starten.
Als u beschrijfbare Samba aandelen, maar u de Samba configuratie-optie nt pijpsteun hebt ingesteld = no, de exploit kan niet worden gebruikt omdat de boeven niet kunnen terugsturen van de misvormde IPC verzoeken aan de malware ze gewoon geupload lanceren.
Ten slotte, gebruikers die hun Samba versie updaten naar 4.6.4 of 4.5.10/ 4.4.14 voor oudere releases, de exploit zal niet worden geactiveerd. Waarom, Samba de misvormde IPC verzoek niet accepteren verwijst de geüploade malware door de lokale naam van het pad.
Tenslotte, gebruikers worden geadviseerd om hun netwerk te controleren, omdat de belangstelling voor SMB-services is nog steeds vrij hoog op de kant van de hackers’.