Computer-Kern.de Technik Blog

Samba RPC-Bug (Badlock)

Es wurde ein schwerwiegender Bug in Samba und in allen Windows Versionen entdeckt. Der RPC-Dienst nimmt unter bestimmten Bedingungen Verbindungen entgegen, die nicht verschlüsselt und gegen Veränderungen gesichert sind. Samba und Windows stellen über die  RPC-Schnittstellen (RPC – Remote Procedure Call) Funktionen zur Verfügung, über die z. B. die Registry verändert oder Benutzerkonten über das Netzwerk verwaltet werden können. Damit dieser Bug ausgenutzt werden kann, muss ein Angreifer zwar im lokalen Netzwerk die Verbindungen eines Administrators belauschen, aber dann hat er Zugriff auf die gesamte Benutzerdatenbank eines Active Directory oder der Samba Benutzerdatenbank.

Wer also einen Server betreibt, auch wenn es nur im lokalen Netzwerk ist, der sollte so schnell wie möglich die bereitgestellten Patches sowohl für Windows als auch für Samba einspielen. Wer noch ein Samba betreibt, dass eine Versionsnummer kleiner 4.2 aufweist, muss seine Samba Installation auf mindestes diese Version updaten. Da die Samba Entwickler nur Patches für die Version 4.4, 4.3 und 4.2 bereitstellen.

Mircosoft hat am letzten Patchday (12.04.2016) ebenfalls einen Patch für dieses Problem veröffentlicht.

Änderung in der smb.conf

Zusätzlich sollten die zwei folgenden Parameter in die smb.conf mit aufgenommen werden.

server signing = mandatory
ntlm auth = no

Mit dem „server singing“ Parameter wird Samba angewiesen, an alle SMB Pakete eine Signatur anzuhängen. Damit weiß der Client immer, dass diese Pakete vom richtigen Server stammen. Samba unterstützt diesen Parameter seit Version 3. Micrsoft hat diese Funktion bereits seit WindowsNT 4.0 SP3 und Windows98 implementiert. Es sollte also keine negativen Auswirkungen haben. Allerdings kann diese Funktion negative Auswirkung auf die Performance haben. Gerade bei Geräten mit einer schwachen CPU muss man ein Auge darauf haben. Wird Samba als Domänen Controller eingesetz,t ist dieser Parameter Pflicht.

Mit dem zweiten Parameter („ntlm auth“) wird das alte NT-LAN Manager Verfahren abgeschaltet. Ist dies geschehen, können sich keine Clients mehr an einer Freigabe oder Domäne anmelden, die älter als Windows 2000 sind. Ab Windows 2000 besteht die Möglichkeit sich mit dem NTLMv2 Verfahren an einem Server zu authentifizieren. Ist also der Parameter auf „no“ gesetzt, wird nur noch das NTLMv2 Verfahren benutzt.

 

Links:
Microsoft Security Bulletin (3148527)
Samba CVE-2016-2118
SerNet BadLock Webseite
BSI M4.334 SMB Message Signing
BSI M4.328 Sichere Grundkonfiguration eines Samba Servers

 

Mario

,
, , , ,

Schreibe einen Kommentar

2.4 GHz 5 GHz apache AP AC Pro armbian bind Binding cubietruck Danfoss ddns debian debian 11 dhcp dns Docker Fibaro firefox freigabe home homeserver installation installieren iSCSI java8 LC-13 Linux mysql openhab openhab2 owncloud Portainer root rules samba server sync TR-064 Ubiquiti Unifi virtualbox Wall Plug WiFi WLAN Z-Wave Zwischenstecker