Vulnerabilidad de suplantación de identidad en SAMBA

Fecha de publicación:

08/07/2016

Importancia:

4 - Alta

Recursos afectados:

Todas las versiones de SAMBA entre la 4.0.0 y la 4.4.4.

Descripción:

SAMBA ha publicado una vulnerabilidad que permite deshabilitar la firma del cliente sobre SMB2/3 mediante un ataque "man in the middle".

Solución:

Aplicar los parches disponibles en https://www.samba.org/samba/security

Mitigación:

Configurar "client ipc max protocol = NT1".
Si "client signing" esta configurado a "mandatory"/"required", habría que quitar la configuración explicita de "client max protocol", que por defecto esta "NT1".

Estos cambios deben ser revertidos una vez que se aplican los parches de seguridad.

Detalle:

Un atacante puede rebajar la firma requerida para una conexión SMB2/3 del cliente, mediante la inyección de los flags SMB2_SESSION_FLAG_IS_GUEST or SMB2_SESSION_FLAG_IS_NULL.

Mediante esta técnica, un atacante puede hacerse pasar por un servidor conectado a través de Samba y devolver contenido malicioso.

Referencias:

Client side SMB2/3 required signing can be downgraded

Etiquetas:

Actualización

Samba

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de suplantación de identidad en SAMBA

Múltiples vulnerabilidades en PHP 7 y PHP 8

Control de acceso incorrecto en SonicWall SMA 100 Series

Divulgación de información en router D-LINK DIR-3040

Múltiples vulnerabilidades en productos Nagios

Múltiples vulnerabilidades en productos de Cisco