Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Samba dicht lek dat gebruikers wachtwoorden laat wijzigen op AD-domeincontroller

Samba heeft patches uitgebracht voor een lek dat aangemelde gebruikers zonder rechten de wachtwoorden van andere gebruikers laat wijzigen, inclusief beheerders. De kwetsbaarheid doet zich voor als Samba wordt gebruikt als Active Directory-domeincontroller.

Het lek, met kenmerk CVE-2018-1057, heeft er volgens de waarschuwing mee te maken dat de ldap-server op de verkeerde manier rechten valideert. De kwetsbaarheid is aanwezig vanaf versie 4.0.0alpha13 en staat beschreven in een speciaal wiki-artikel. Patches zijn beschikbaar in de vorm van versies 4.7.6, 4.6.14 en 4.5.16. Volgens de Samba-ontwikkelaars is op de patch-pagina ook te achterhalen of er oplossingen voor oudere versies van de software beschikbaar zijn.

In het wiki-artikel staan bovendien verschillende work-arounds beschreven, zoals het intrekken van wachtwoordwijzigingsrechten van alle gebruikersobjecten inclusief computers voor 'the world'. Om dat te doen is er een zogenaamde helper-tool in het leven geroepen. Het risico van het lek is dat een aanvaller mogelijk toegang kan verkrijgen tot een account met hogere rechten door het wachtwoord ervan te wijzigen.

De kwetsbaarheid is ontdekt door het Duitse SerNet, waarvan mensen ook aan de ontwikkeling van Samba werken. Het Samba-team waarschuwt daarnaast voor een tweede kwetsbaarheid met kenmerk CVE-2018-1050, dat het toelaat een dos-aanval op een externe printserver uit te voeren vanaf versie 4.0.0 van de software.

Samba is een opensource-implementatie van het smb/cifs-netwerkprotocol. Dit protocol is aanwezig in Windows en maakt het mogelijk om bestanden en printers via het netwerk te delen. Om interoperabiliteit met andere besturingssystemen als Linux, Unix en BSD te faciliteren is Samba in het leven geroepen. Daardoor kunnen bijvoorbeeld Linux-servers deelnemen in een Active Directory en ook fungeren als domain controller. Dat kan sinds versie 4.0.0.

Door

Nieuwsredacteur

49 Linkedin Google+

Reacties (49)

Wijzig sortering
En ja, dit is inderdaad bekeken vanuit de theorie. LAPS is vrij eenvoudig te implementeren, maar JIA en JEA vanuit een bastion domein zijn wel dingen die echt veel impact hebben op je beheer organisatie en je werk, waardoor het voor veel bedrijven geen werkbare oplossing is.
Dat is het probleem inderdaad. In plaats van dat er gestandaardiseerde oplossingen vanuit MS komen, moeten bedrijven zelf oplossingen implementeren die vaak niet werkbaar zijn of die andere beveiligingsproblemen met zich meebrengen, dat geldt dus ook voor LAPS. Al lees ik wel vooruitgang met de Windows Defender Credential Guard voor nieuwe versies van Windows.

[Reactie gewijzigd door deacs op 14 maart 2018 00:53]

Het lek is naar, dat zeker. Ik denk ook dat de meesten schrikken van het woord Samba en meteen denken aan een fileserver..... Logisch natuurlijk, daar begon het. :)

Als je dit lek wilt misbruiken heb je een Samba LDAP server nodig. Dat is niet zo heel moeilijk maar je moet domain admin rechten hebben om de server aan de AD te joinen. Daarna gaat je LDAP server wel opvallen want komt netjes in de Domain Controllers OU terecht O-) . Daarnaast komt je server overal in de topologie terug.

Je beste kans is dus een bestaande Samba LDAP server misbruiken :9 . Sinds enkele jaren zit dat bijvoorbeeld standaard in NAS servers als FreeNAS.
Een apparaat met Windows komt niet inclusief een device CAL.
Het licentie drama is zelfs zo erg dat wanneer een gast bij jou op het netwerk komt en een IP address van je Windows DHCP server krijgt hier eigenlijk een device CAL voor aanwezig moet zijn.
De controle en handhaving hiervan is gelukkig totaal afwezig, maar zo erg is het daadwerkelijk wel gesteld. Ze maken het echter niet al te makkelijk inderdaad.
hoewe lde bedrijifspolicy uitdrukkelijk iedere vorm van installatie of manipulatie verbiedt.
Dat is dan ook het probleem.. Mensen accepteren niet meer dat je alles verbiedt.

Kijk, als je bij de AIVD werkt dan kan ik me er nog wat bij voorstellen. Payroll medewerkers wellicht.. Maar waarom zou iemand niet naar een paar liedjes mogen luisteren tijdens het werk?

Als je je medewerkers als kleuters gaat behandelen en alles verbieden, dan geef je aan dat je ze ook geen enkele verantwoordelijkheid binnen het security proces toevertrouwt. Dan zie je ze puur als vijand en niet als medespeler. Ook wel logisch dan dat ze de grenzen gaan verkennen.

Dus, als ze door al die beperkingen hun werk niet kunnen doen, dan gaan ze van alles en nog wat verzinnen om er omheen te komen. Iedereen kent wel die handige harry van financien die weet hoe je toch je foto's van het bedrijfsuitje op de USB stick kan krijgen. Vervolgens weet iedereen het trucje en slingeren overal sticks rond. Uiteindelijk ben je op security gebied alleen maar slechter uit want dan heb je er helemaal geen controle meer over.

Ik snap wel dat het van hogerhand moet, maar ik zie bij ons in elk geval juist vanaf de hogere lagen steeds meer druk op een 'common sense' security beleid.

[Reactie gewijzigd door GekkePrutser op 13 maart 2018 22:49]

Nergens zeg ik toch ,dat ze de tools niet krijgen om hun werk te doen ? In tegendeel we voorzien in alles, laptop , iphone, internet abonnement .... etc etc, maar dan wel enkel om hun werk te doen.

Als je een contract ondertekent moet je, je eraan houden. Een beetje het probleem van deze tijd, iedereen denkt dat ze expert zijn in alles en het beter weten.

Als ik dan voor de zoveelste keer lees dat één of ander bedrijf weer gegevens verloren heeft .... tja

Ik zou zeggen laten we het eens zijn om het oneens te zijn.

[Reactie gewijzigd door klakkie.57th op 13 maart 2018 23:40]

Ik denk dat zijn punt is dat het werk van nu niet het werk van morgen is. Er is opeens een conferentie waar beeldmateriaal aan moet worden geleverd, of er is een nieuwe klant die toch heel koppig een factuur in een oude versie van word wil ontvangen of noem maar wat geks op.

De baas zit maar in je nek te hijgen want die dingen komen nooit ruim van te voren maar enkel als een verrassing voor de mensen die het uit mogen voeren, IT zet je in de wachtrij als je snel hulp nodig hebt (want iedereen heeft snel hulp nodig) en ga zo maar door. Als het helemaal mee zit heb je een IT afdeling met strenge regeltjes waar voor elke IT-gerelateerde uitzondering eerst moet worden overlegd met je baas oid.

Je wilt alleen maar je werk doen, en Harry van Financien helpt je om jezelf te helpen. En achteraf komt IT maar klagen over die verschrikkelijke gebruikers.

Ik snap helemaal waar het oogpunt van de ITer vandaan komt, maar ik snap de gebruikers ook. IT heeft vaak niet de manschappen die het nodig heeft om geweldig te functioneren, en medewerkers mogen van de baas vaak in andere rollen bijspringen en functioneren die ze oorspronkelijk misschien niet geacht worden te doen.
SPARC niet ;) Maar inderdaad dat maakt je punt niet minder valide.
SPARC wel degelijk, Oracle heeft inmiddels Solaris gepatched.

https://www.theregister.c...arterly_patches_jan_2018/

[Reactie gewijzigd door Dreamvoid op 14 maart 2018 01:26]

Oh ja inderdaad!

In het begin werd juist gezegd dat SPARC als een van de weinigen niet kwetsbaar was. Itanium trouwens ook niet.
Wellicht een noob-vraag:

Wat is een active directory, en hebben mensen die met Ubuntu of Debian simpelweg een directory "delen" met Samba hier ook mee te maken?
Holy crap ... ik zou je vraag even googelen als ik jou was ;-) N00ber dan dit kan inderdaad niet :p

[Reactie gewijzigd door Thanis op 14 maart 2018 07:43]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*