De Hispasec – Una al Día: Vulnerabilidad en Samba permite la suplantación de servidores (09/07/2016)

Vulnerabilidad en Samba permite la suplantación de servidores

sábado, 9 de julio de 2016

Se ha confirmado una vulnerabilidad en Samba (versiones 4.0.0 a 4.4.4), que podría permitir a un atacante desactivar el requisito de la firma del cliente sobre SMB2/3.

samba_logo

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El problema (con CVE-2016-2119) puede permitir a un atacante degradar el requisito de firmado para una conexión de cliente SMB2/3, mediante un ataque “man in the middle” y la inyección de los “flags” SMB2_SESSION_FLAG_IS_GUEST o SMB2_SESSION_FLAG_IS_NULL. Esto puede permitir al atacante suplantar un servidor mediante una conexión Samba y devolver contenido malicioso.

Se han publicado parches para solucionar esta vulnerabilidad en

http://www.samba.org/samba/security/

Adicionalmente, se han publicado las versiones Samba 4.4.5, 4.3.11 y 4.2.14 que corrigen los problemas.

Como contramedida el equipo de Samba recomienda configurar

“client ipc max protocol = NT1”

Si “client signing” está configurado como “mandatory”/”required”, hay que eliminar una configuración explicita de “client max protocol”, que por defecto tiene “NT1”. Estos cambios deberán restituirse una vez que se apliquen los parches publicados.

Más información:

Client side SMB2/3 required signing can be downgraded

https://www.samba.org/samba/security/CVE-2016-2119.html

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Samba, Samba 4, Seguridad, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *