Samba e as "vulnerabilidades" encontradas

KernelKill

A um tempo atrás, escrevi um artigo em um site sobre a vulnerabilidade que foi encontrada no Samba, e eu gostaria de publicar aqui com a galera do VOL.

[ Hits: 8.023 ]

Por: Joabe G.Q. Kachorroski em 01/07/2017 | Blog: http://commitlinux.com.br/

11 0

Denuncie Favoritos Indicar Impressora

Como se proteger

A equipe de mantenedores do Samba já corrigiu o problema em suas novas versões 4.6.4 / 4.5.10 / 4.4.14 e recomendam que o patch seja aplicado o mais rapidamente possível.

As organizações que usam o software Samba devem verificar se é possível aplicar o quanto antes a correção em seus sistemas operacionais ou dispositivos que usam o Samba, como storages por exemplo.

Aqueles que não conseguem corrigir imediatamente, podem contornar a vulnerabilidade adicionando a linha no arquivo smb.conf:

nt pipe support = no

Uma vez adicionado, reinicie o daemon SMB da rede (smbd) e pronto.

IMPORTANTE: essa alteração impedirá que os clientes acessem totalmente algumas máquinas de rede, bem como desativar algumas funções esperadas para sistemas Windows conectados.

O Samba é um "software servidor" para Linux que permite o compartilhamento de recursos em redes formadas por computadores, incluindo o sistema operacional Windows.

Dessa forma, é possível usar o Linux como servidor de arquivos, servidor de impressão, entre outros, como se a rede utilizasse servidores Windows.

É amplamente usado em redes corporativas, principalmente em órgãos públicos, no Brasil.

Página anterior

Páginas do artigo

1. O que circulou na "NET" a respeito da Vul encontrada
2. Como se proteger

Outros artigos deste autor

Quad9 - O que é e como usar

Leitura recomendada

Samba 4 como controlador de domínio

Administrando seu servidor Samba com o User Manager

Inicialização do Linux

Migração de Samba 3 + LDAP para Samba 4 + NTP + BIND 9.8 + DHCP

Permitindo o uso da internet usando o login do SAMBA

Comentários

[1] Comentário enviado por removido em 02/07/2017 - 03:53h

Houve notícias de algo que fizeram explorando a falha?

2 0

[2] Comentário enviado por removido em 02/07/2017 - 18:01h

1- Por que as pessoas não atualiza o sistema no geral?

2-

Segundo Rebekah Brown, da empresa de cibersegurança Rapid7, ainda não há sinais de ataques com recurso à vulnerabilidade descoberta , embora seja "muito, muito fácil explorar" o "buraco" no software Samba."

A vulnerabilidade encontrada pode ser utilizada para criar um "worm" semelhante ao que permitiu que o WannaCry se espalhasse tão depressa. Os investigadores da Rapid7 demoraram apenas 15 minutos para desenvolver um programa malicioso que tira proveito da referida vulnerabilidade.

..............................................

Tudo muito vago sem algo concreto. Parece aquela velha historia de empresas querendo vender seu produtos.

https://www.rapid7.com/products/

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=samba

Release

https://www.samba.org/

https://www.samba.org/samba/history/

3- Para ser explorada remotamente, o servidor precisa estar com a porta 445 disponível para internet com permissão de gravação nos diretórios.

Acho que ate mesmo no Ubuntu pelo histórico de falta de segurança a porta 445 não fica disponível para internet.

a) Qual o protocolo usado na porta 445? O artigo não fala.
b) Qual o tipo de permissão de gravação nos diretórios? O artigo também não fala.

4- Uma mensagem de spam malicioso que comprometeu com êxito um único computador em uma rede corporativa, por exemplo, poderia usar a falha do Samba para se espalhar de forma viral para outros computadores.

Dada a facilidade de explorar a vulnerabilidade, ela poderia rapidamente infectar um grande número de computadores.

..............................................

O servidor de domínio e os clientes de email da rede corporativa não possui um filtro de anti-spam e um IDS ou uma politica de segurança?

Tudo muito vago sem algo concreto o artigo parece que foi feito para o AD do Rwindows Server.

4 0