现在Badlock安全漏洞问题非常严重。你应该立即修补Samba和Windows服务器。
当德国公司SerNet宣布Windows文件服务器和其搭档开源软件Samba存在重大缺陷(Badlock漏洞)时,很多人对这个消息不屑一顾。他们认为一家专门从事Samba支持服务的公司宣布Samba需要修复漏洞只是自我推销的一种手段。当然,的确是有点推销的成分,但是Samba和Windows文件服务器和管理工具也确实存在问题,甚至可以说是存在致命缺陷。
谷歌存储和开放源代码工程师、Samba高级开发人员Jeremy Allison解释:“这是一个协议级别的漏洞。具体来说:“安全账户管理器远程协议(MS SAMR)和本地安全授权(域策略)远程协议(MS-LSAD)都非常容易受到中间人的攻击。这两种协议都是基于通用DCE1.1远程过程调用(DCERPC)协议的应用层协议。”
Allison说:“问题真的严重到必须修复它了。它影响到使用RPC(远程过程调用)服务的每个人。因为设计决策起源于Window NT,每一个文件服务器都会用到它,所以他们都需要打补丁。而且远程过程调用也应用于远程管理登录上,这几乎导致所有的Windows和Samba服务器都变得非常容易受攻击。”
Red Hat也同意这样的观点。Red Hat公司认为Badlock的相关安全问题非常严重,并且已经发布了几份公告和修复程序,建议尽快修复受影响的系统。
确切地说,Badlock是一个协议漏洞,导致中间人攻击(MITM)可以欺骗微软活动目录来假冒一个授权用户。所有版本的Samba都会受到影响。利用此漏洞,攻击者可以获得安全账户管理器(SAM)数据库的读/写访问权限,这会造成所有用户密码和其他敏感信息的泄露。
此外,这些协议通常会存在于Windows安装,以及每一个Samba服务器中。它们被用于维护SAM数据库。这与你如何运行服务器无关,它可能存在于独立模式下、域成员模式或是AD域控制器下,所以无论你如何让服务器工作,它都可能会遭到攻击。
更糟糕的是,中间人攻击可以利用一个客户端向服务器发起任意授权的远程过程调用连接,来假冒一个授权的用户,从而欺骗服务器上的安全账户管理器进行远程服务和本地安全授权远程服务。
根据通用漏洞和泄露(CVE)报道:“在这种情况下,客户端选择何种应用协议、何种身份验证类型(例如Kerberos和NTLMSSP),以及怎样的身份验证级别(未连接、PKT-INTEGRITY、PKT-PRIVACY)都不会改变什么。中间攻击者完全可以将身份验证级别改为连接(这就意味着不需要消息保护的身份验证),从而完全控制。”
除了被用来破解SAM,Badlock也可在DCE-RPC客户端和服务器中用于拒绝服务攻击。在所有可能的服务器角色下它都可以被用于欺骗Samba。这是一个一直存在的安全漏洞。所有的Samba,从3.6.0到4.4.0版本都易受到攻击。
对于Windows系统,微软指出,“对Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, 和 Windows 10的所有支持版本来说,这个安全更新被定级为重要等级。”虽然微软没有正面承认,但是从Windows NT开始的那些微软已经不再支持的Windows版本同样受到影响,所以,如果你真的需要一个非常重要的安全理由才会升级旧版本的Windows,现在,已经有了这样的理由了。
你想自己修复Samba,现在可以选择Samba 4.4.2, 4.3.8 和4.2.11 的安全更新程序。引用Badlock网站的一句话,“请更新您的系统吧,我们十分确定很快就会有漏洞利用工具了。”你认为呢?
——————————————————————————————————————
本文由e安在线独家翻译,本文章及图片出于传递更多信息之目的,属于非营利性的翻译转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
原文链接:
http://www.zdnet.com/article/badlock-patch-your-samba-and-windows-server-now/#rd?sukey=
3997c0719f1515204dab3d87ea894a5a2818ab603dc919fd7ca523a5ce3fbda72588995789dd8138ee7199d2b7f22546