Vulnerabilidad de suplantación de identidad en SAMBA
Fecha de publicación:
08/07/2016
Importancia:
4 -
Alta
Recursos afectados:
Todas las versiones de SAMBA entre la 4.0.0 y la 4.4.4.
Descripción:
SAMBA ha publicado una vulnerabilidad que permite deshabilitar la firma del cliente sobre SMB2/3 mediante un ataque "man in the middle".
Solución:
Aplicar los parches disponibles en https://www.samba.org/samba/security
Mitigación:
- Configurar "client ipc max protocol = NT1".
- Si "client signing" esta configurado a "mandatory"/"required", habría que quitar la configuración explicita de "client max protocol", que por defecto esta "NT1".
Estos cambios deben ser revertidos una vez que se aplican los parches de seguridad.
Detalle:
Un atacante puede rebajar la firma requerida para una conexión SMB2/3 del cliente, mediante la inyección de los flags SMB2_SESSION_FLAG_IS_GUEST or SMB2_SESSION_FLAG_IS_NULL.
Mediante esta técnica, un atacante puede hacerse pasar por un servidor conectado a través de Samba y devolver contenido malicioso.
Etiquetas: