الفئة معلومات نقاط الضعف الصناعات المتأثرة منطقة متأثرة متعددة المصدر عالميًا*A2TLP #GREENReference * https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability # https://en.wikipedia.org/wiki/Traffic_Light_Protocol

ملخص تنفيذي

• منصة CloudSek الرائدة لمراقبة المخاطر الرقمية الجيل السادس عشر اكتشفت منشورًا، على منتدى الجرائم الإلكترونية الروسي الذي ترتاده مجموعات Ransomware، بخصوص ثماني نقاط ضعف تستهدف حزم Samba التي تؤثر على نطاقات Active Directory.
• Samba هو تطبيق لبروتوكول حظر رسائل الخادم (SMB) مفتوح المصدر. إنه يمكّن Linux من العمل كخادم وعميل مع نظام التشغيل Windows.
• قدم الممثل معلومات عن نقاط الضعف، المعروفة الآن باسم CVEs، إلى جانب آثارها المحتملة.
• يمكن للجهات الفاعلة في مجال التهديد استغلال هذه الثغرة الأمنية لشن هجمات مختلفة، بما في ذلك، على سبيل المثال لا الحصر، اختراق المعلومات وتصاعد الامتيازات وتحديد البنية التحتية للأنظمة.

[معرف التسمية التوضيحية = «المرفق _18241" aligncenter «العرض ="1239"] مشاركة ممثل التهديد في منتدى الجرائم الإلكترونية [/caption]

التحليل والإسناد

معلومات من البريد

• في 10 نوفمبر 2021، نشر أحد ممثلي التهديد منشورًا، على منتدى الجرائم الإلكترونية، مدعيًا أنه يمكن استغلال Active Directories باستخدام 8 نقاط ضعف في حزمة Samba.
• تم إصلاح هذه الثغرات الأمنية الآن، ومع ذلك، يمكن للمهاجمين البحث عن مثيلات غير مصححة لاستهدافها.

تؤثر الثغرات الثمانية على الإصدارات التالية من Samba:

• 4.15.2
• 4.14.10
• 4.13.14

فيما يلي قائمة بالثغرات الأمنية المصححة، إلى جانب أوصافها، كما ذكر الممثل:

• CVE-2020-25717: يمكن لمستخدم مجال Active Directory لديه القدرة على إنشاء حسابات جديدة على نظامه، تتم إدارتها باستخدام MS-DS-MachineAccountquota، الحصول على وصول جذري إلى أنظمة المجال الأخرى بسبب ثغرة أمنية في منطق تعيين مستخدمي المجال لمستخدمي النظام المحلي.
• CVE-2021-3738: يمكن أن يؤدي الوصول إلى منطقة ذاكرة تم تحريرها بالفعل (الاستخدام بعد الاستخدام مجانًا) إلى تصعيد الامتياز عند معالجة إعداد الاتصال في تنفيذ خادم Samba AD DC RPC (dsdb).
• CVE-2016-2124: حتى إذا تم تكوين المستخدم أو التطبيق بمصادقة Kerberos الإلزامية، يمكن نقل اتصالات العميل التي تم إنشاؤها عبر بروتوكول SMB1 إلى نقل معاملات المصادقة بنص واضح أو عبر NTLM (على سبيل المثال، لتحديد بيانات الاعتماد لهجمات MITM).
• CVE-2020-25722 التخزين المناسب: على وحدة تحكم مجال Active Directory المستندة إلى Samba، لم يتم إجراء عمليات التحقق من الوصول، مما يسمح لأي مستخدم بالهروب من بيانات الاعتماد وإفساد المجال تمامًا.
• تذاكر CVE-2020-25718 Kerberos: لم تقم وحدة تحكم مجال Active Directory التي تتخذ من سامبا مقراً لها بعزل تذاكر المسؤول الصادرة عن RODC (وحدة تحكم المجال للقراءة فقط) بشكل صحيح، والتي يمكن استخدامها للحصول على تذاكر المسؤول من RODC دون امتلاك السلطة للقيام بذلك.
• CVE-2020-25719: لم تأخذ وحدة تحكم مجال Active Directory القائمة على Samba دائمًا في الاعتبار حقلي SID و PAC في تذاكر Kerberos في الحزمة (عند إعداد «gensec: require pac = true»، تم التحقق من الاسم فقط، وتم تجاهل PAC)، مما يسمح للمستخدم الذي لديه الحق في إنشاء حسابات على النظام المحلي بانتحال شخصية مستخدم آخر في المجال، بما في ذلك مستخدم ذي امتياز.
• CVE-2020-25721: بالنسبة للمستخدمين المصادق عليهم من Kerberos، لم يتم دائمًا إصدار معرفات فريدة لـ Active Directory (ObjectSid)، مما قد يؤدي إلى تقاطعات المستخدم.
• CVE-2021-23192: أثناء هجوم MITM، كان من الممكن انتحال الأجزاء في طلبات DCE/RPC الكبيرة التي تم تقسيمها إلى عدة أجزاء.

تصنيف المصدر

• الممثل يحظى بشعبية كبيرة في المنتدى.

• تم التحقق من المنشور الذي نشره الممثل من الإصدار الرسمي من Samba (1).

ومن ثم،

• يمكن تصنيف موثوقية الممثل بأنها موثوقة (A).
• يمكن تصنيف مصداقية الإعلان على الأرجح بأنها صحيحة (2).
• إعطاء مصداقية المصدر الشاملة لـ A2

المراجع

• الإصدار الرسمي من سامبا

الملحق

[معرف التسمية التوضيحية = «المرفق _18242" aligncenter «العرض = «1249"] إعلان الإصدار الرسمي من موقع الويب [/caption]