Vulnerabilidad de suplantación de identidad en SAMBA

Fecha de publicación:

08/07/2016

Importancia:

4 - Alta

Recursos afectados:

Todas las versiones de SAMBA entre la 4.0.0 y la 4.4.4.

Descripción:

SAMBA ha publicado una vulnerabilidad que permite deshabilitar la firma del cliente sobre SMB2/3 mediante un ataque "man in the middle".

Solución:

Aplicar los parches disponibles en https://www.samba.org/samba/security

Mitigación:

Configurar "client ipc max protocol = NT1".
Si "client signing" esta configurado a "mandatory"/"required", habría que quitar la configuración explicita de "client max protocol", que por defecto esta "NT1".

Estos cambios deben ser revertidos una vez que se aplican los parches de seguridad.

Detalle:

Un atacante puede rebajar la firma requerida para una conexión SMB2/3 del cliente, mediante la inyección de los flags SMB2_SESSION_FLAG_IS_GUEST or SMB2_SESSION_FLAG_IS_NULL.

Mediante esta técnica, un atacante puede hacerse pasar por un servidor conectado a través de Samba y devolver contenido malicioso.

Referencias:

Client side SMB2/3 required signing can be downgraded

Etiquetas:

Actualización

Samba

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de suplantación de identidad en SAMBA

Escalada de privilegios en Apache Traffic Server

Múltiples vulnerabilidades en productos F5

Vulnerabilidad de escalada de privilegios en WebSphere Application Server de IBM

Múltiples vulnerabilidades en Jenkins

Vulnerabilidad de desbordamiento de búfer en Dell EMC iDRAC