Microsoft, Samba vá lỗ hổng “Badlock”

Samba là mộtbộ phần mềm mã nguồn mở cung cấp các dịch vụ tập tin và in ấn cho các khách hàng với giao thứcSMB/CIFS (giao thức chia sẻ dữ liệu qua mạng). Stefan Metzmacher,một nhân viên của SerNet và cũng là một thành viên của nhóm Samba Core Team đã pháthiện ra rằng công cụ do một lỗ hổng gây ra có thể bị khai thác cho các cuộc tấn công từ chối dịch vụ (DoS) và tấncông giả mạo (MitM).

Khoảng ba tuầntrước khi phát hành bản vá, SerNet đã gán cho lỗ hổng này tên gọi Badlock vàtạo ra một trang web cùng một logo cho nó để nâng cao nhận thức cho người dùngvề lỗ hổng đó đồng thời cũng để quảng cáo dịch vụ của mình.

Một sốchuyên gia đã chỉ trích công ty về hình thức công bố này khi lý luận rằng điều đó có thể tạo cho những người làm mã độc có đủ manh mối và đủ thời gian để tiến hành trước khi bản vá được đưa ra. Tuy nhiên các chuyên gia cũng chỉ ra rằng sựviệc này không nghiêm trọng như mọi người nghĩ và SerNet nói rằng tên “Badlock” gán cho lỗi kỹ thuật này mang ý  nghĩa chung thay vì chỉ ra bất kỳ một lỗi riêng biệt nào.  

Microsoft xếplỗ hổng này vào loại “nghiêm trọng” và đã chú thích trong một tư vấn của mình vớikhách hàng rằng, lỗ hổng ảnh hưởng tới các giao thức LSAD và SAM.

Microsoft nói rằng: “Lỗhổng có thể cho phép nâng cao đặc quyền nếu kẻ tấn công mở ra một tấn công MitM.Kẻ tấn công có thể sau đó giảm mức xác thực của các kênh LSAD và SAM và mạo nhận là một người dùng được xác thực”.

Theo SerNet, Badlock có thể được khai thác bởi một kẻtấn công với những hoạt động mạng từ xa để nhắm mục tiêu vào dịch vụ Samba nhằmkhởi chạy các cuộc tấn công DoS. Badlock cũng cho phép những kẻ tấn công kiểmsoát những tấn công MitM vào nhiều giao thức khác nhau được Samba sử dụng và thựchiện các cuộc gọi mạng Samba tùy ý theo ngữ cảnh của ngườidùng bị chặn.

Nếu tin tặc có khả năng chặn lưu lượng mạng của người quản trị,chúng có thể thay đổi những quyền người dùng trên các tập tin được lưu trữ trênmột máy chủ Samba tiêu chuẩn và xem hoặc thay đổi những bí mật trong cơ sở dữliệu AD (bao bồm mật khẩu người dùng đã mã hóa dưới dạng hàm băm) trên máy chủSamba AD.

SerNet cho rằng những hành vi khai thác lỗ hổng sẽ được phát triển "tương đối sớm”. Công ty cũng nói rằng có một số PoC (Proof  Of  Concept),nhưng không một PoC nào trong số đó sẽ được đưa ra trong tương lai gần.

Samba nhận dạng sai sót chính là lỗ hổng CVE-2016-2118, trong khi Microsoft thì dõi theo CVE-2016-0128. Thêm vào đó, những CVE mà Samba xếp vào loạiBadlock là CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113,CVE-2016-2114 và CVE-2016-2115.

Lỗ hổng này ảnh hưởng đến các phiênbản Samba 3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9, 4.3.0-4.3.6 và 4.4.0 và đã được vá vớiviệc đưa ra các phiên bản 4.2. 10 / 4.2.11, 4.3.7 / 4.3.8 và 4.4.1 / 4.4.2.Microsoft đã sửa lỗi này trong Windows với bản tin bảo mật MS16-047.

Bên cạnh MS16-047, Microsoft đưa ra 14 bản tin bảo mật như một phần của bản vá vàotháng 3/2016 để sửa chữa hàng chục lỗ hổng quan trọng và then chốt đang ảnhhưởng tới Windows, Internet Explorer, Edge, Office, .NET, và Adobe Flash Player. Microsoftchưa thấy có bất kỳ cuộc tấn công nào khai thác các lỗ hổng này.

Theo  securityweek.com