Você já ouviu falar do projeto Samba? É um projeto de código aberto popular usado em máquinas Linux e Unix para que funcionem com arquivos do Windows e serviços de impressão. O projeto permite que você trabalhe como um cliente que permite que você se conecte a servidores Windows, bem como um servidor projetado para aceitar conexões de clientes Windows.
O Samba pode ser usado como um servidor Active Directory para lidar com o logon, autenticação e controle de acesso para uma rede Windows.
Uma execução remota de código (RCE) Bug encontrado na implementação SMB do Samba
Um fato interessante aqui é que o nome Samba deriva de SMB, ou bloco de mensagem do servidor, que tem estado em todos os noticiários recentemente devido ao surto de ransomware WannaCry. O ataque foi baseado em um ransomware de auto-propagação com comportamento semelhante a um worm que se espalhou automaticamente de rede para rede por meio da já famosa falha SMB do Windows.
Enquanto girou para fora, esta falha estava presente há muito tempo, descoberto apenas pela NSA e apelidado de EternalBlue, até que os ShadowBrokers tornassem isso público. De alguma forma, o grupo de hackers o obteve em um cache de dados que provavelmente vazou, violado ou roubado.
Como você já sabe, A Microsoft já corrigiu a falha SMB, mas os hackers decidiram tornar seus detalhes públicos, junto com alguns outros dados roubados. Pessoas que pensam que o surto de WannaCry foi algo único ou invisível no mundo do crime cibernético, estão errados porque ataques semelhantes a vermes foram observados no passado recente - o worm da Internet de 1988, Slammer de 2003, e o infame Conficker de 2008.
E a má notícia aqui é que graças a plataformas cruzadas como o Samba, brechas de segurança de rede desencadeadas pela falha SMB e os serviços de compartilhamento de arquivos do Windows não se limitam apenas ao Windows. Como se vê, houve um bug de execução remota de código – identificado como CVE-2017-7494 – na implementação SMB do Samba.
Detalhes sobre CVE-2017-7494
- Tipo: Execução remota de código a partir de um compartilhamento gravável
- Versões afetadas: Todas as versões do Samba de 3.5.0 em diante
- Descrição: Clientes maliciosos podem fazer upload e fazer com que o servidor smbd execute uma biblioteca compartilhada de um compartilhamento gravável.
Teoricamente, esta vulnerabilidade pode ser implantada em outro ataque wormable, ou um tipo automatizado de intrusão em que uma máquina comprometida procura por novas vítimas para causar danos adicionais, conforme explicado por pesquisadores da Sophos.
CVE-2017-7494 pode ser acionado em um cenário como o seguinte:
- Localize um compartilhamento de rede gravável em um servidor Samba vulnerável;
- Copie um programa Linux / Unix chamado de objeto compartilhado (um arquivo .so) naquele compartilhamento gravável.
Este é o ponto onde o malware é introduzido na máquina alvo por meio de um arquivo de programa malicioso .so, mas não está fazendo nada. Graças ao bug, no entanto, um invasor remoto pode enganar o servidor Samba para que carregue e execute o arquivo .so, pesquisadores explicar:
- Adivinhe o nome do arquivo local do arquivo enviado no servidor que você está atacando. (O nome remoto por meio do compartilhamento pode ser \ SERVER SHARE dodgy.so; esse arquivo pode acabar na árvore de diretório local do servidor como, dizer, /var / samba / share / dodgy.so.)
- Envie ao Samba uma solicitação IPC especialmente malformada (comunicação entre processos, ou mensagem de computador para computador) que identifica a cópia local do malware pelo nome do caminho completo.
- A solicitação malformada de IPC engana o servidor para que carregue e execute o arquivo de programa armazenado localmente, mesmo que esse arquivo venha de uma fonte externa não confiável.
Os pesquisadores observam que o CVE-2017-7494 é mais difícil de explorar porque nem todo serviço SMB pode ser explorado. Contudo, há uma certa quantidade de risco:
Se você tiver o Samba instalado, mas o estiver usando apenas como um cliente para se conectar a outros compartilhamentos de arquivos, o exploit não pode ser usado porque não há um servidor de escuta para um bandido se conectar.
Se você tiver compartilhamentos Samba abertos, mas eles estiverem configurados como somente leitura (por exemplo, se você estiver usando Samba para publicar atualizações para PCs Windows em sua rede), a exploração não pode ser usada porque os criminosos não podem fazer upload de seu arquivo de malware para iniciar o ataque.
Se você tiver compartilhamentos Samba graváveis, mas tiver definido a opção de configuração do Samba nt pipe support = no, a exploração não pode ser usada porque os criminosos não podem enviar as solicitações malformadas de IPC para lançar o malware que acabaram de enviar.
por fim, usuários que atualizam sua versão do Samba para 4.6.4 ou 4.5.10/ 4.4.14 para versões mais antigas, o exploit não será acionado. Quanto ao porquê, O Samba não aceita a solicitação IPC malformada referindo-se ao malware carregado por seu nome de caminho local.
Em conclusão, os usuários são aconselhados a verificar sua rede porque o interesse em serviços SMB ainda é bastante alto por parte dos hackers.