Categoria Inteligência de vulnerabilidades Indústrias afetadas Várias regiões afetadas Fonte global*A2TLP #GREENReference * https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability # https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Sumário executivo

• A principal plataforma digital de monitoramento de risco da CloudSEK XV Vigília descobriu uma postagem, em um fórum russo de crimes cibernéticos frequentado por grupos de ransomware, sobre oito vulnerabilidades direcionadas a pacotes Samba que afetam os domínios do Active Directory.
• O Samba é uma implementação do protocolo Server Message Block (SMB) de código aberto. Ele permite que o Linux funcione como servidor e cliente com o sistema operacional Windows.
• O ator forneceu informações sobre as vulnerabilidades, agora reconhecidas como CVEs, junto com seus possíveis impactos.
• Os agentes de ameaças podem explorar essa vulnerabilidade para realizar vários ataques, incluindo, mas não se limitando a, comprometimento de informações, aumento de privilégios e identificação da infraestrutura dos sistemas.

[caption id="attachment_18241" align="aligncenter” width="1239"] Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption]

Análise e atribuição

Informações do Post

• Em 10 de novembro de 2021, um agente de ameaças publicou uma postagem, em um fórum de crimes cibernéticos, alegando que o Active Directories pode ser explorado usando 8 vulnerabilidades no pacote Samba.
• Essas vulnerabilidades agora estão corrigidas, no entanto, os invasores podem estar procurando instâncias não corrigidas para atacar.

As 8 vulnerabilidades afetam as seguintes versões do Samba:

• 4.15.2
• 4.14,10
• 4.13,14

A seguir está uma lista de vulnerabilidades corrigidas, junto com suas descrições, conforme declarado pelo ator:

• CVE-2020-25717: Um usuário de domínio do Active Directory com a capacidade de criar novas contas em seu sistema, gerenciado usando MS-DS-MachineAccountQuota, pode obter acesso root a outros sistemas de domínio devido a uma vulnerabilidade na lógica de mapear usuários do domínio para usuários do sistema local.
• CVE-2021-3738: O acesso a uma área de memória já liberada (Use após a liberação) pode potencialmente levar ao aumento de privilégios ao manipular a configuração da conexão na implementação do servidor RPC Samba AD DC (dsdb).
• CVE-2016-2124: Mesmo que o usuário ou aplicativo esteja configurado com a autenticação Kerberos obrigatória, as conexões do cliente estabelecidas por meio do protocolo SMB1 podem ser transferidas para a transmissão de parâmetros de autenticação em texto não criptografado ou via NTLM (por exemplo, para determinar credenciais para ataques MITM).
• CVE-2020-25722 Armazenamento adequado: em um controlador de domínio do Active Directory baseado em Samba, as verificações de acesso não foram realizadas, permitindo que qualquer usuário escapasse das credenciais e corrompesse totalmente o domínio.
• Tickets Kerberos CVE-2020-25718: O controlador de domínio do Active Directory baseado em Samba não isolou adequadamente os tíquetes de administrador emitidos pelo RODC (controlador de domínio somente leitura), que podem ser utilizados para obter tíquetes de administrador do RODC sem ter a autoridade para fazer isso.
• CVE-2020-25719: O controlador de domínio do Active Directory baseado em Samba nem sempre levava em consideração os campos SID e PAC nos tickets Kerberos do pacote (ao definir “gensec: require pac = true”, somente o nome era verificado e o PAC era ignorado), permitindo que um usuário com o direito de criar contas no sistema local se passasse por outro usuário no domínio, incluindo um privilegiado.
• CVE-2020-25721: Para usuários autenticados pelo Kerberos, identificadores exclusivos para o Active Directory (ObjectSID) nem sempre eram emitidos, o que poderia levar a interseções de usuários.
• CVE-2021-23192: Durante o ataque MITM, foi possível falsificar fragmentos em grandes solicitações de DCE/RPC que foram divididas em várias partes.

Classificação da fonte

• O ator é muito popular no fórum.

• A postagem compartilhada pelo ator foi verificada a partir do lançamento oficial do Samba (1).

Portanto,

• A confiabilidade do ator pode ser classificada como Confiável (A).
• A credibilidade do anúncio pode ser classificada como Provavelmente verdadeira (2).
• Dando credibilidade geral à fonte de A2

Referências

• Lançamento oficial do Samba

Apêndice

[caption id="attachment_18242" align="aligncenter” width="1249"] Anúncio oficial de lançamento no site [/caption]