Vulnerabilidad de suplantación de identidad en SAMBA

Fecha de publicación:

08/07/2016

Importancia:

4 - Alta

Recursos afectados:

Todas las versiones de SAMBA entre la 4.0.0 y la 4.4.4.

Descripción:

SAMBA ha publicado una vulnerabilidad que permite deshabilitar la firma del cliente sobre SMB2/3 mediante un ataque "man in the middle".

Solución:

Aplicar los parches disponibles en https://www.samba.org/samba/security

Mitigación:

Configurar "client ipc max protocol = NT1".
Si "client signing" esta configurado a "mandatory"/"required", habría que quitar la configuración explicita de "client max protocol", que por defecto esta "NT1".

Estos cambios deben ser revertidos una vez que se aplican los parches de seguridad.

Detalle:

Un atacante puede rebajar la firma requerida para una conexión SMB2/3 del cliente, mediante la inyección de los flags SMB2_SESSION_FLAG_IS_GUEST or SMB2_SESSION_FLAG_IS_NULL.

Mediante esta técnica, un atacante puede hacerse pasar por un servidor conectado a través de Samba y devolver contenido malicioso.

Referencias:

Client side SMB2/3 required signing can be downgraded

Etiquetas:

Actualización

Samba

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de suplantación de identidad en SAMBA

Vulnerabilidad en el core de Drupal

Actualizaciones críticas en Oracle (abril 2021)

Múltiples vulnerabilidades en ClearPass de Aruba

Vulnerabilidad XSS en TIBCO Administrator

Múltiples vulnerabilidades 0day en SonicWall Email Security