Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de suplantación de identidad en SAMBA

Vulnerabilidad de suplantación de identidad en SAMBA

Fecha de publicación: 
08/07/2016
Importancia: 
4 - Alta
Recursos afectados: 

Todas las versiones de SAMBA entre la 4.0.0 y la 4.4.4.

Descripción: 

SAMBA ha publicado una vulnerabilidad que permite deshabilitar la firma del cliente sobre SMB2/3 mediante un ataque "man in the middle".

Solución: 

Aplicar los parches disponibles en https://www.samba.org/samba/security

Mitigación:

  • Configurar "client ipc max protocol = NT1".
  • Si "client signing" esta configurado a "mandatory"/"required", habría que quitar la configuración explicita de "client max protocol", que por defecto esta "NT1".

Estos cambios deben ser revertidos una vez que se aplican los parches de seguridad.

Detalle: 

Un atacante puede rebajar la firma requerida para una conexión SMB2/3 del cliente, mediante la inyección de los flags SMB2_SESSION_FLAG_IS_GUEST or SMB2_SESSION_FLAG_IS_NULL.

Mediante esta técnica, un atacante puede hacerse pasar por un servidor conectado a través de Samba y devolver contenido malicioso.