Det nå ganske kjente sårbarheten (CVE-2020-1472) i Windows Server som blant annet amerikanske Department of Homeland Security (DoH) nylig advarte sterkt mot, er på protokollnivå og berører derfor også andre implementeringer av Netlogon-protokollen. Det inkluderer blant annet Samba, som er hyppig brukt på datamaskiner med Unix-lignende operativsystemer, slik som Linux og MacOS.
Nå er det langt fra alle Samba-konfigurasjoner som er sårbare. Det skal kun dreie seg om de tilfellene hvor Samba 4.0 og nyere bruker som domenekontroller. På disse vil det kunne være mulig for angripere med nettverkstilgang å omgå autentiseringen.
Avhenger av oppsettet
I en veiledning skriver The Samba Team at sårbarheten avhenger i stor grad av en parameter som settes i smb.conf-filen. Dersom konfigurasjonsfilen inneholder linjer som dette:
«server schannel = no»
eller
«server schannel = auto»
er serveren trolig sårbar for såkalte ZeroLogon-angrep.
I Samba 4.8 og nyere insisterer serveren på å bruke en sikkert Netlogon-kanal, som skal beskytte mot kjent angrepskode. Dette skal tilsvare det å ha den følgende linjen i smb.conf.
«server schannel = yes»
The Samba Team skriver at Samba 4.7 og eldre er sårbare dersom de ikke har linjen «server schannel = yes» i global-seksjonen av smb.conf.
_logo.svg.png){kind=logo}
Også klienter
På datamaskiner som kjører Samba som filserver, eller på PC-er med Samba-klient, kjøres ikke Netlogon-tjenesten. Dersom datamaskinene er knyttet til en domenekontroller, må administratorer sjekke at den følgende linjen ikke er oppgitt i smb.conf:
«client schannel = no»
I de nyeste utgavene av Samba (Samba 4.10.18, 4.11.13 og 4.12.7) er det gjort noen endringer som skal gi en viss beskyttelse dersom «server schannel» er satt til «no» eller «auto».
Alle, også de som kun bruker Samba som filserver, anbefales å installere de nyeste oppdateringen som er tilgjengelig.
Advarer: Kritisk sårbarhet utnyttet av statsstøttede aktører
