打开微信扫一扫
绿盟科技持续关注国内安全走势,早在3月份的时候第一时间发布了BadLock威胁预警通告。4月12日,微软补丁日如期而至。在这次微软发布的补丁中,包含了BadLock,该漏洞可对windows系统和Samba服务一律全版本通杀,危害程度不可小觑。对此,绿盟科技针对BadLock漏洞进行了技术跟踪分析并提供相应的防护建议。
BadLock漏洞时间线跟踪
BadLock时间线跟踪
BadLock漏洞基本概念什么是BadLock?
International Samba Core Team成员Stefan Metzmacher发现Microsoft Windows平台和Samba服务软件中存在的一个严重等级的安全漏洞,将其命名为BadLock。
什么是Samba?
Samba是一个实现SMB(Server Message Block,服务信息块)/CIFS(Common Internet File System,通用网络文件系统)网络文件共享协议的免费开源软件,可以运行在大多数的操作系统上,包括Windows,Unix,IBM System以及OpenVMS等。
Samba允许非Windows平台使用相同的网络协议与Windows产品进行通讯,实现网络资源共享。
BadLock漏洞影响危害影响平台 Microsoft Windows(未应用MS16-047补丁) Samba 3.6.x Samba 4.0.x Samba 4.1.x Samba 4.2.0-4.2.9 Samba 4.2.0-4.3.6 Samba 4.4.0影响级别
BadLock影响级别
BadLock漏洞技术跟踪漏洞细节
针对BadLock,可以参考如下:
Samba – CVE-2016-2118 (SAMR和LSA中间人攻击) 微软 – CVE-2016-0128 / MS16-047 (Windows SAM和LSAD降级漏洞)
与BadLock相关联的CVE列表如下:
CVE列表
技术分析
BadLock主要指的是SAM(Security Account Manager)和LSAD(Local Security Authority Domain Policy)协议中存在的中间人攻击漏洞。
SAM和LSAD都是基于通用 DCE/RPC的用户层协议,被用于所有的windows系统和Samba服务器。在windows下SAM和LSAD协议提供了对本地账户存储管理、远程用户认证等功能。举个列子,当管理员远程登陆到windows机器中就会用到SAM和LSAD。
BadLock指出的安全漏洞可以导致攻击者非法获得远程机器的认证。当一个客户端发起对远程机器的连接并获取一个认证的连接时,无论用户选择何种应用协议、认证类型(比如Kerberos 或者 NTLMSSP)和认证等级(NONE, CONNECT, PKT_INTEGRITY, PKT_PRIVACY),攻击者可以在截获流量的情况下(中间人攻击)将其降级为无需加密的CONNECT认证等级,从而取代合法用户的连接。如果网络管理员远程访问域控服务器时的流量被截获,攻击者就可以获取域控服务器上的SAM数据的读写权限,从而窃取域控服务器上的用户密码哈希和其它敏感信息。
此外,与BadLock相关的漏洞CVE-2015-5370存在拒绝服务的风险。Samba在公告中指出由于DCE-RPC的客户端和服务端实现存在问题,可导致程序崩溃和高cpu利用率,从而导致拒绝服务。
攻击方式
1. 中间人攻击
攻击者可以通过中间人截获Samba多个协议通信过程中的上下文,并执行任意的网络会话。
例如:
Samba AD服务器:查看或修改AD,包括用户密码HASH或者关闭服务。 标准Samba服务器:修改用户对文件或者目录的访问权限。
2. 拒绝服务攻击
攻击者可以通过特有的远程访问导致Samba拒绝服务。
BadLock漏洞风险防护修复方法 将Samba服务器升级到如下版本: 4.2.10/4.2.11 4.3.7/4.3.8 4.4.1/4.4.2 应用MS16-047补丁,补丁路径:
https://technet.microsoft.com/library/security/MS16-047
|
|
|