Samba lanza actualizaciones de seguridad que abordan una vulnerabilidad crítica en el protocolo «Netlogon»

Recientemente Samba ha lanzado actualizaciones de seguridad, que abordan una vulnerabilidad de riesgo crítico, la misma ha sido identificada con el CVE-2020-1472 y se da en el protocolo Netlogon de Windows Server, y además afecta a diversas versiones de Samba. La explotación exitosa de este fallo podría permitir a un atacante no autenticado obtener acceso administrativo.

Las versiones afectadas son:

• Samba en versiones 4.8 y superiores, con las configuraciones “server schannel = no” o “server schannel = auto” en el archivo smb.conf
• Samba desde la versión 4.0 hasta la 4.7, con la configuración “server schannel = no” en el archivo smb.conf

El fallo identificado como CVE-2020-1472, afecta al protocolo Netlogon (MS-NRPC) y podría permitir a un atacante omitir la autenticación. Dicha vulnerabilidad, fue parcheada por Microsoft en el Patch Tuesday de Agosto. Para más información sobre esta vulnerabilidad, puede visitar el siguiente enlace.

Samba al igual que los sistemas Windows Server implementa el protocolo Netlogon si es utilizada como controlador de dominio, las instalaciones más afectadas son las de Active Directory (AD), y las del estilo clásico NT4/DC, pero con un menor impacto.

Además, cabe recalcar que la vulnerabilidad no afecta a las instalaciones de Samba ejecutadas únicamente como un servidor de archivos, ya que estas no ejecutan el servicio Netlogon. Sin embargo, es necesario realizar cambios en la configuración para mantener la comunicación con los controladores de dominio. En cuanto a las versiones afectadas, Samba informó que las versiones desde la 4.0 hasta la 4.7 son vulnerables si no cuentan con la configuración “server schannel = yes” en el archivo smb.conf. Mientras que las versiones 4.8 y superiores no son vulnerables a menos que tengan las líneas smb.conf “server schannel = no” o “server schannel = auto”.

La explotación exitosa de este fallo en las versiones vulnerables podría permitir a un potencial atacante tomar control del dominio (en el caso de dominios AD) o divulgar claves de sesión y realizar ataques de denegación de servicios (en dominios similares a NT4/DC).

Recomendaciones:

• Aplicar los parches de seguridad para Samba, disponibles en las versiones:
  • 4.10.18;
  • 4.11.13;
  • 4.12.7;
  • 4.10.17;
  • 4.11.12 y
  • 4.12.6.
• Por otro lado, Samba recomienda como medida de mitigación a esta vulnerabilidad:
  • Para usuarios de Samba en versiones anteriores a la 4.8, agregar la configuración “server schannel = yes” en el archivo smb.conf y reiniciar Samba (esto se debe hacer en todos los controladores de dominio)
  • Para usuarios de Samba en versiones 4.8 y posteriores, asegurar que el archivo smb.conf:
    • Cuente con la configuración “server schannel = yes” o
    • No cuente con ninguna configuración “server schannel”

Referencias:

• https://www.samba.org/samba/security/CVE-2020-1472.html
• https://www.securityweek.com/samba-issues-patches-zerologon-vulnerability
• https://www.muyseguridad.net/2020/09/23/zerologon-tambien-afecta-samba/