La actualización de Samba parchea el problema del saqueo de las contraseñas de texto sin formato

Si usa la venerable herramienta de código abierto Samba en cualquier lugar de su red, querrá leer sobre la última actualización , la versión 4.15.2 .

Samba es la palabra pronunciable más cercana a SMB que se le ocurrió a Andrew Tridgell, quien creó el proyecto en la década de 1990.

SMB, abreviatura de Server Message Block es (o, más precisamente, solía ser) el nombre general del protocolo de red que alguna vez fue propietario de Microsoft, heredado de IBM.

Tridge, como es más conocido el Dr. Andrew Tridgell OAM, quería una forma para que sus computadoras Linux pudieran unirse a las redes de Windows, sin la cual el trabajo de intercambiar datos entre las redes de Windows y Unix requería un montón de soluciones complicadas.

(En aquellos días ni siquiera había unidades USB que ayudaran a transmitir datos a través de un espacio de aire, y un disquete típico podía contener solo 1,44 MB o incluso menos. Además, se suponía que las redes conectaban computadoras, no las segregaban).

SMB convertido en CIFS

Microsoft finalmente permitió que SMB se convirtiera en un estándar abierto, que quizás conozca como CIFS, abreviatura de Common Internet File System , pero el nombre Samba se quedó para la implementación de código abierto.

Como puede imaginar, SMB, y por lo tanto CIFS, y por lo tanto Samba, han evolucionado enormemente a lo largo de los años, y algunos aspectos iniciales de SMB se han retirado, principalmente por razones de seguridad.

Más precisamente, todos los han descartado por defecto, incluido Microsoft, por razones de inseguridad, es decir, que fueron diseñados y codificados por primera vez mucho antes de que nos tomáramos tan en serio la ciberseguridad como lo somos hoy, o al menos antes de que la ciberseguridad se convirtiera en algo que somos. Se espera con razón que nos tomemos en serio si queremos o no.

La propia Microsoft publicó un artículo en 2019 con el título inequívoco de Dejar de usar SMB1 , la primera versión del protocolo de intercambio de archivos.

Los tipos SMB2 y SMB3 del protocolo no solo son mucho más rápidos y escalables, sino que también eliminan un montón de «características» operativas inseguras permitidas por el antiguo SMB1.

De hecho, en 2017, Microsoft dejó de instalar el soporte SMB1 de forma predeterminada en Windows 10 v1709 y Windows Server v1709.

Si necesita desesperadamente SMB1 por razones heredadas (y si lo necesita, ¿por qué no usar este artículo como impulso para descubrir cómo deshacerse de él por fin?), Puede agregarlo como un componente de Windows más adelante, pero de forma predeterminada , no está instalado y, por lo tanto, no puede encenderlo, ya sea por accidente o por diseño.

Cuidado con los ataques de degradación

Una razón importante para asegurarse de que no tiene SMB1 es que es vulnerable a ataques de manipulador en el medio (MiTM) y degradación .

Ahí es donde alguien monitorea el tráfico SMB1 en su red y responde a los nuevos usuarios en su red diciendo: “Oh, lo siento mucho, estamos muy anticuados aquí. No envíe contraseñas cifradas para iniciar sesión, utilice contraseñas de texto sin formato «.

Incluso si sus clientes y sus servidores normalmente no son compatibles con SMB1, una respuesta fraudulenta de este tipo puede engañar a un cliente que de otro modo sería seguro (uno que no ha recibido instrucciones de no cumplir nunca con solicitudes de este tipo) para que se comunique de forma insegura …

… y así permitir a los atacantes olfatear la contraseña de texto sin formato para más adelante.

Por supuesto, una vez que los intrusos conozcan su contraseña, ya no tendrán que preocuparse por SMB1.

Pueden usar la contraseña ahora robada para iniciar sesión ellos mismos usando SMB2 y, por lo tanto, conectarse de manera incontrovertible, sin generar anomalías en sus registros de seguridad.

Bueno, uno de los errores corregidos en Samba 4.15.2 se denomina CVE-2016-2124 y se describe de la siguiente manera:

Un atacante puede degradar una conexión de cliente SMB1 negociada y sus capacidades. […] El atacante puede obtener la contraseña de texto sin formato enviada por cable incluso si se requiere autenticación Kerberos.

Antes de culpar a Samba

Sin embargo, antes de culpar a Samba por haber tenido este error, deténgase a pensar que no debería seguir usando SMB1 y que Samba, como Windows, no lo habilita por defecto.

Por lo tanto, necesitaría un smb.confarchivo inusual y muy retrospectivo (archivos de configuración de Samba para clientes y servidores) para que este error haya sido explotable en primer lugar.

En particular, el equipo de Samba señala que necesitaría todas estas opciones de Samba configuradas al mismo tiempo:

    cliente NTLMv2 auth = no
    cliente lanman auth = sí
    autenticación de texto sin formato del cliente = sí
    protocolo mínimo del cliente = NT1 # o inferior

Los valores predeterminados (si no tiene ninguna entrada con estos nombres en su /etc/samba/smb.confarchivo) son todos diferentes, como sigue:

  cliente NTLMv2 auth = sí
  cliente lanman auth = no
  autenticación de texto sin formato del cliente = no
  protocolo mínimo de cliente = SMB2_02

En particular, la autenticación de texto sin formato está suprimida de forma predeterminada, lo que significa que los clientes de Samba no generarán paquetes de red sniffables que contengan contraseñas de texto sin formato en primer lugar.

¿Qué hacer?

  • Deje de usar SMB1 en cualquier lugar. En Windows, desinstale el componente SMB1 de las computadoras con Windows por completo. Para Samba, considere agregar una client plaintext auth = noentrada explícita a su archivo de configuración para dejar claras sus intenciones.
  • Actualice a Samba 4.15.2. Los parches también corrigen un montón de otros errores numerados CVE. Si está ejecutando versiones de Samba anteriores pero aún compatibles, los números de versión exactos que desea son 4.14.10 o 4.13.14 o posteriores.
  • Planifique revisar periódicamente todas las configuraciones de autenticación, hash de contraseñas y protocolos. Ya sea que se trate de cifrados obsoletos como RC4, algoritmos de resumen retirados como MD5, funciones peligrosas de hash de contraseñas como LANMAN o protocolos no deseados como SMB1, no asuma simplemente que se han eliminado de su ecosistema. Asegúrese de verificar como una cuestión de rutina.

fuente:nakedsecurity.sophos.com

Comments are closed.