Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Samba dicht lek dat gebruikers wachtwoorden laat wijzigen op AD-domeincontroller

Samba heeft patches uitgebracht voor een lek dat aangemelde gebruikers zonder rechten de wachtwoorden van andere gebruikers laat wijzigen, inclusief beheerders. De kwetsbaarheid doet zich voor als Samba wordt gebruikt als Active Directory-domeincontroller.

Het lek, met kenmerk CVE-2018-1057, heeft er volgens de waarschuwing mee te maken dat de ldap-server op de verkeerde manier rechten valideert. De kwetsbaarheid is aanwezig vanaf versie 4.0.0alpha13 en staat beschreven in een speciaal wiki-artikel. Patches zijn beschikbaar in de vorm van versies 4.7.6, 4.6.14 en 4.5.16. Volgens de Samba-ontwikkelaars is op de patch-pagina ook te achterhalen of er oplossingen voor oudere versies van de software beschikbaar zijn.

In het wiki-artikel staan bovendien verschillende work-arounds beschreven, zoals het intrekken van wachtwoordwijzigingsrechten van alle gebruikersobjecten inclusief computers voor 'the world'. Om dat te doen is er een zogenaamde helper-tool in het leven geroepen. Het risico van het lek is dat een aanvaller mogelijk toegang kan verkrijgen tot een account met hogere rechten door het wachtwoord ervan te wijzigen.

De kwetsbaarheid is ontdekt door het Duitse SerNet, waarvan mensen ook aan de ontwikkeling van Samba werken. Het Samba-team waarschuwt daarnaast voor een tweede kwetsbaarheid met kenmerk CVE-2018-1050, dat het toelaat een dos-aanval op een externe printserver uit te voeren vanaf versie 4.0.0 van de software.

Samba is een opensource-implementatie van het smb/cifs-netwerkprotocol. Dit protocol is aanwezig in Windows en maakt het mogelijk om bestanden en printers via het netwerk te delen. Om interoperabiliteit met andere besturingssystemen als Linux, Unix en BSD te faciliteren is Samba in het leven geroepen. Daardoor kunnen bijvoorbeeld Linux-servers deelnemen in een Active Directory en ook fungeren als domain controller. Dat kan sinds versie 4.0.0.

Door Sander van Voorst

Nieuwsredacteur

13-03-2018 • 13:26

49 Linkedin Google+

Reacties (49)

Wijzig sortering
Vrij serieuze lek toch weer. Bij de vorige Samba security leak werd bij ons al snel geopteerd om het niet meer te gebruiken. Het idee erachter is goed, maar als de implementatie en/of het protocol onderhevig zijn aan zulke exploits, is het risico simpelweg te groot.
Vrij serieus lek inderdaad. Maar Microsoft heeft in hun eigen implementatie ook regelmatig grote lekken laten vallen.

Ik laat het niet vallen dus, maar ga wel snel mijn Samba PDC updaten.
Heel Active Directory is een speelplaats voor kwaadwillenden. Ik vraag me af wanneer er degelijke oplossingen komen vanuit Microsoft om ernstige kwestbaarheden zoals Pass the Hash te mitigeren in plaats van adviezen om enkel domain admins af te schermen. Ja dat kan het probleem grotendeels verhelpen, maar dat is voor grote domeinen een tijdrovende en kostbare taak.

[Reactie gewijzigd door deacs op 14 maart 2018 00:08]

Voor Windows werkstations is er een dergelijke oplossing al: LAPS.
Voor Windows servers zijn er oplossingen als Just in time administration en just enough administration waarmee je domain admin accounts in principe al kunt elimineren.
Wil je het helemaal secure doen, moet je wel een bastion domein gaan inrichten, waar je het beheer vanuit gaat doen.

En ja, dit is inderdaad bekeken vanuit de theorie. LAPS is vrij eenvoudig te implementeren, maar JIA en JEA vanuit een bastion domein zijn wel dingen die echt veel impact hebben op je beheer organisatie en je werk, waardoor het voor veel bedrijven geen werkbare oplossing is.

[Reactie gewijzigd door walteij op 13 maart 2018 14:28]

Advies van MSFT zelf:
- LAPS voor clients
- Iedereen heeft een user account (Tier 2), zonder beheerdersrechten
- IT personeel dat op bijv. een server moet kunnen inloggen krijgt een beheerdersaccount (Tier 1)
- Domain admins krijgen een domain admin account (Tier 0)

Tier 2 mag elke 3 maanden zijn wachtwoord veranderen
Tier 1 mag dit iedere 6 weken doen
Tier 0 mag dit wekelijks doen.
Sinds de introductie van Windows 10 is er een oplossing voor pass-the-hash: Windows Defender Credential Guard. Die zorgt dat het lsass.exe process - verantwoordelijk voor genereren van tokens - afgeschermd is voor het besturingssysteem zelf. Hier wordt virtualisatie voor gebruikt en helpt tegen allerlei derived credential theft problemen. Deze feature zet je aan zonder enige vorm van beheer, alleen even kijken of eventuele 3rd party SSO software compatible is. Windows Server kent deze feature ook.
En met JIA en JEA zorg je er dus zelfs voor dat mensen met een Tier 1 account niet standard overal bij kunnen. Via enkele powershell commando's worden er rechten aangevraagd (en goedgekeurd), waarna de Tier 1 medewerker zijn werkzaamheden kan doen.
Via delegation of control kun je al heel veel werkzaamheden netjes laten uitvoeren zonder dat je domain admin bent.
Tier 0 accounts moeten wat mij betreft alleen gebruikt worden als het echt niet anders kan. Dus daar hoort dan ook gewoon een (minimaal) 24 karakter lang sterk wachtwoord bij. Dat hoeft dan dus ook niet wekelijks veranderd te worden.
Mocht je de domain admin accounts dan wel actief gebruiken, is het wekelijks aanpassen van die wachtwoorden weer een risico op zichzelf, omdat mensen dan toch makkelijker te onthouden wachtwoorden gaan gebruiken (met volgnummers, of week/jaar in het wachtwoord).
LAPS is standaard niet zo heel veilig, als je een foutje maakt in de ACLs kan iedereen bij de paswoorden komen. Bovendien is er geen audit log wie de paswoorden opvraagt.

Wij gebruiken een aangepaste versie van LAPS waarbij de paswoorden met een public key worden ge-encrypt, en kunnen alleen met via een webservice met auditing worden opgevraagd (die webservice decrypt ze dan).

Wekelijks je paswoord veranderen is trouwens vrij bizar, gelukkig doen we dit niet (ben zelf ook domain admin). Beter zou het natuurlijk zijn als ze het protocol aanpassen zodat pass the hash niet meer werkt. Anders laat je je users opdraaien voor je eigen ontwerpfouten. Zo vaak je paswoord veranderen leidt er gewoon toe dat mensen sequentiele paswoorden gaan gebruiken of ze op een makkelijke plaats opschrijven. Beter zou dan zijn om bijv. smart cards aan te raden, dan voeg je tenminste nog iets toe aan de beveiliging.

[Reactie gewijzigd door GekkePrutser op 13 maart 2018 15:12]

Binnen LAPS moet je inderdaad heel goed uitkijken met de ACL's.
Het auditen van LAPS is overigens niet zo heel moeilijk en zeer zeker wel aan te raden.
Vervelende is wel dat je later terug zo een lekke versie zou kunnen installeren als DC en dan lekker alle paswoorden zitten veranderen. Uiteraard moet je al aardig wat rechten hebben om dit te kunnen doen in AD, maar als ik zou willen exploiten zonder het al te hard te laten opvallen:

- kwetsbare Samba DC installeren
- paswoorden veranderen
- logs opkuisen
- tweede kwetsbare Samba DC installeren met een ander gereset admin account
En vergeet niet dat het allergrootste Microsoft lek ooit (als je i.p.v. user-credentials gewoon een setje met 0-bytes aanleverde werdt het als "Administrator" beschouwd ) ontdekt is juist DOOR de Samba ontwikkelaars die hun implementatie vergeleken met die van Microsoft.

Maar Micosoft doet continu wel heel erg zijn best om de interne werking van cifs/smb zo obscuur mogelijk te maken zodat de ontwikkelaars van Samba permanent catch-up moeten spelen.
Subtiele verschillen tussen verschillende Windows versies, ongedocumteerde functies, ongedocumenteerd (of totaal anders) gedrag bij functionalitiet die wel gedocumenteerd is. De lijst is erg lang.

En dat werkt fouten, zowel bij Microsoft als bij de ontwikkelaars van compatible software in de hand.
Maar om nou Samba helemaal in de ban te doen.
Voor interoperaibiliteit met WIndows systemen kun je eigenlijk niet om Samba heen.
Wat ga je dan gebruiken? Er is geen alternatief (voor zover mij bekend) dat dezelfde funktionaliteit biedt.
Maar zoveel alternatieven zijn er niet voor een AD infrastructuur. Het eenvoudigste alternatief is natuurlijk omschakelen naar Microsoft. En hoewel zoiets relatief eenvoudig kan vanuit gebruikersperspectief zal daar toch weer een hoop voorbereiding en bijgevolg ook kosten aan te pas komen om het technisch mogelijk te maken.
Denk dat het probleem op dat vlak toch vooral licentiekosten is... als je als beheerder linux snapt en met een Samba DC voor elkaar krijgt wat je nodig hebt, hetzij met wat kunst en vliegwerk, is een business case voor al die licentiemeuk van Microsoft best lastig.
Laatste keer dat ik daar naar zat kijken zaten ze bijvoorbeeld nogsteeds te rommelen met die CAL zooi. Dat moet gewoon weg. Al is dat inmiddels ook al wel even geleden.

[Reactie gewijzigd door Koffiebarbaar op 13 maart 2018 14:26]

Voor een AD en een fileserver zijn geen CAL's nodig.
CAL's zijn voor applicatieservers, SQL servers (mits geen enterprise, want die rekent per core) en Exchange servers.

De licenties van Microsoft zijn inderdaad een vak apart, veel te ingewikkeld en soms zelfs conflicterend. Wel CAL licenties, geen CAL licenties, core licenties, core + CAL licenties, en allerlei andere dingen er tussenin.

[Reactie gewijzigd door walteij op 13 maart 2018 15:01]

Niet waar.. Voor elke user in een AD domein die een echt poppetje is heb je een Windows CAL nodig. Als je dan ook nog RDS/Citrix gebruikt heb je ook nog een RDS CAL nodig en voor Exchange idd een Exchange Call.

Een beetje user kost dus al snel minimaal 1500 euro alleen al aan CALs.
Feit dat hier überhaupt discussie over bestaat lijkt me voldoende zeggen over Microsoft's
tamelijk wazige licentiemodel...
Daar zal een certificeerde Microsoft partner misschien een andere mening over kunnen hebben maar licenties beheren zou je m.i. al met al geen scholing voor genoten moeten hoeven hebben. Daar moet gewoon een zeker mate van vanzelfsprekendheid werken en dat is rond in ieder geval die CAL meuk zeker niet zo.

[Reactie gewijzigd door Koffiebarbaar op 13 maart 2018 15:07]

Wat ik er nog van herinner heb je de keuze tussen CALs voor je users of CALs voor je devices en heeft elke PC met een windows licentie die aan het domein komt al een eigen device CAL. Heb je dan een beperkt aantal extra apparaten en een relatief eenvoudige omgeving dan kan het lonen om je dus op device CALs te richten en als je AD enkel voor user management gebruikt kan je er dus aan ontkomen met enkel de meegeleverde CALs.
Uhmm jawel je moet een CAL hebben voor ieder apparaat, zelfs printers... (of iedereen een user CAL)

1 – Does my Multifunction Printer need a CAL?

Yes, if the multifunction printer is connected to a Windows Server network. A multifunction printer accesses server software to; receive an IP address, to receive a job, to communicate that the job is finished, etc. In short, it communicates with the server software. ...
https://blogs.technet.mic...lient-access-license-cal/

[Reactie gewijzigd door Rinzwind op 13 maart 2018 14:46]

Hmm, nog eens wat extra informatie doorgelezen en je hebt inderdaad (grotendeels) gelijk.
Als de printer een vast IP adres heeft en niet op de printserver is geinstalleerd, hoef je geen CAL te hebben, anders wel (DHCP en printserver zijn toch wel een makkelijk in een iets grotere organisatie).

Ook wordt de printer CAL in principe afgedekt door de user CALs. Ik heb mijn originele post ook even anagepast, want mijn eerste regel daar was dus overduidelijk fout.
Als je dan toch al niet veel bezig bent met GPO's en dergelijke maar wel over wilt naar een stabiele DC en misschien ook beheer uit huis wil plaatsen kan het interessant zijn om eens te kijken naar Azure Active Directory? Dan heb je vrij snel een maandelijkse prijs per gebruiker en ben je ook van je CAL zooi af. (maar uiteraard wel vele male duurder dan zelf een samba omgeving bouwen en hosten)
Als je Cal’s nodig hebt wil dit zeggen dat je ook gebruik maakt van Windows applicaties, dan zal de kostprijs van 2 extra windows server licenties om te gebruiken als GC/DC ok wel meevallen.

[Reactie gewijzigd door klakkie.57th op 13 maart 2018 14:41]

en welk nadeel lost je op met je mdm oplossing ?

"Mensen willen geen strakke IT afdeling meer die ze vertelt wat ze moeten gebruiken. En willen niet meer met twee laptops lopen."

En hoe ga je de eindgebruikers dan helpen ? of laat je ze dan helemaal aan hun lot over ? Moeten ze maar naar de computerwinkel om de hoek en in de tussentijd zijn ze niet meer productief. Wat doe je met policies die in de tussentijd veranderen ? bv geen ios 9 devices meer maar alleen 10 and up ? Dan moet de eindgebruiker ook maar een nieuw device kopen ? Spectre , Meltdown allemaal het probleem van de eindgebruiker ?

ik geloof absoluut niet in BYOD , dit is gewoon eindgebruikers pesten omwille van "mogelijke" kostenbesparing.

[Reactie gewijzigd door klakkie.57th op 13 maart 2018 17:07]

Met als verschil dat er voor Samba al alternatieven zijn (ook met hun eigen voor- en nadelen). En als er in de toekomst hardware beschikbaar komt die niet onderhevig is an meltdown en spectre zullen we zeker en vast op termijn de apparatuur vervangen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True