Badlock kwetsbaarheden in Samba

Badlock kwetsbaarheden in Samba

DearBytesAlertsBadlock kwetsbaarheden in Samba

Wat is er aan de hand?

badlockEen reeks ernstige kwetsbaarheden is ontdekt in Samba. Details hierover zijn op 12 april gepubliceerd onder de noemer “Badlock”. Onderzoeker Stefan Metzmacher kondigde op 22 maart de vondst al aan, maar heeft gewacht met publicatie totdat een patch beschikbaar was.

Door de kwetsbaarheden te misbruiken, kan een aanvaller de beschikbaarheid van systemen verhinderen (Denial-of-Service/DoS) of gevoelige data inzien (Man-in-the-Middle/MitM).

De kwetsbaarheden hebben de volgende CVE’s meegekregen:

  • CVE-2016-2118 (SAMR and LSA man in the middle attacks possible)
  • CVE-2015-5370 (Multiple errors in DCE-RPC code)
  • CVE-2016-2110 (Man in the middle attacks possible with NTLMSSP)
  • CVE-2016-2111 (NETLOGON Spoofing Vulnerability)
  • CVE-2016-2112 (LDAP client and server don’t enforce integrity)
  • CVE-2016-2113 (Missing TLS certificate validation)
  • CVE-2016-2114 (“server signing = mandatory” not enforced)
  • CVE-2016-2115 (SMB IPC traffic is not integrity protected)

Zie ook de publicatie van het Nationaal Cyber Security Centrum (NCSC) over deze kwetsbaarheden.

Waarom is dit belangrijk?

Alhoewel de kwetsbaarheden minder makkelijk uit te buiten zijn dan initieel verwacht, hebben wij besloten toch deze alert uit te doen in verband met aandacht in media over het lek.

Samba maakt gebruikt van het SMB protocol en wordt voornamelijk gebruikt om Windows machines met Linux en Unix machines te laten communiceren. Derhalve is het een standaard onderdeel van een groot aantal Linux kernels en op Unix gebaseerde besturingssystemen.

Op wie is dit van toepassing?

Dit raakt Samba versies:

  • 3.6.x,
  • 4.0.x,
  • 4.1.x,
  • 4.2.0-4.2.9,
  • 4.3.0-4.3.6,
  • 4.4.0

Versies lager dan 4.1 zijn out of support en ontvangen geen updates meer, óók geen security updates. U wordt geadviseerd te upgraden als u nog een oudere versie gebruikt.

Op versies ouder dan 3.6 is niet onderzocht of deze eveneens gevoelig zijn voor de badlock kwetsbaarheden.

Wat kunt u doen?

Inventariseer welke machines Samba gebruiken (zowel Windows als *nix). Het is aan te raden de patches zo snel mogelijk te testen en te instaleren zodra deze beschikbaar is.

Verder komt het Samba Team met de volgende aanbevelingen:
Implementeer netwerk beveiligingstechnologieën om MITM te mitigeren zoals DHCP snooping, ARP Inspection en 802.1x. Beperk de toegang tot de Samba server tot vertrouwde bronnen door middel van bijvoorbeeld een firewall.

Ook wordt aangeraden om, wanneer mogelijk, de volgende aanpassingen aan de Samba configuratie te maken:

server signing = mandatory
ntlm auth = no

De eerste aanpassing kan een behoorlijke impact performance op de server hebben
De tweede optie dwingt het gebruik van NTLMv2 door de clients af.

Wat doet DearBytes Managed Services?

Voor klanten waar DearBytes vulnerability management uitvoert, zal een inventarisatie gemaakt worden van kwetsbare systemen zodra hiervoor een update van beschikbaar is. Deze inventarisatie zal aan u gerapporteerd worden.

Voor klanten waar DearBytes het beheer uitvoert van Intrusion Prevention / Detection zullen – zodra deze beschikbaar zijn – detectierules worden geactiveerd om misbruik te detecteren en na uw akkoord te blokkeren.