Informações sobre a vulnerabilidade mais recente conhecida como “Samba” e como proteger os sistemas contra as ameaças que podem explorá-la.

Uma versão anterior de uma vulnerabilidade out-of-bounds (OOB) no Samba foi divulgada através do Pwn2Own Austin 2021 da Trend Micro Zero Day Initiative (ZDI). A ZDI examinou a lacuna de segurança e encontrou mais variantes da vulnerabilidade após o evento e, posteriormente, divulgou as descobertas à empresa. Embora não tenhamos visto nenhum ataque ativo explorando essa vulnerabilidade, o CVE-2021-44142 recebeu uma classificação CVSS de 9,9 das três variantes relatadas. Se explorada, essa lacuna de segurança pode ser usada por invasores remotos para executar código arbitrário como root em todas as instalações afetadas que usam o módulo vfs_fruit do sistema de arquivos virtual (VFS). O Samba lançou todos os patches relevantes para mitigar o impacto das ameaças que podem explorar essa lacuna. Os clientes da Trend Micro estão protegidos e podem seguir soluções manuais para resolver esse problema.

O que é o Samba?

O Samba é um pacote de software de interoperabilidade padrão integrado ao Windows, uma reimplementação do protocolo de rede SMB (Server Message Block) para serviços de arquivo e impressão. Ele é executado na maioria dos sistemas Unix e semelhantes ao Unix, como sistemas Linux e macOS, entre outras versões e sistemas operacionais (SO) que usam o protocolo SMB/Common Internet File System (CIFS). Isso permite que os administradores de rede configurem, integrem e instalem equipamentos tanto como controlador de domínio (DC) quanto membro de domínio e se comuniquem com clientes baseados no Windows.

O que é CVE-2021-44142?

CVE-2021-44142 é uma vulnerabilidade que permite que invasores remotos executem código arbitrário nas instalações afetadas do Samba. A lacuna específica existe na análise dos metadados do EA no daemon do servidor smbd ao abrir um arquivo. Um invasor pode explorar essa vulnerabilidade para executar código no contexto raiz mesmo sem autenticação.

Embora a versão analisada fosse o smbd 4.9.5, que não é a versão mais recente, alguns fornecedores incorporam essa e versões anteriores do daemon do servidor em seus produtos, como foi visto no evento Pwn2Own 2021. Isso também é ativado por padrão para permitir o compartilhamento de arquivos e a interoperabilidade entre os dispositivos disponíveis, particularmente o NetaTalk implementado de código-aberto. Essa implementação é de servidor de arquivos disponível gratuitamente do Apple Filing Protocol (AFP) que atende a dispositivos Apple. Conforme declarado no aviso do fornecedor, se as opções nas configurações padrão de vfs_fruit forem definidas para configurações diferentes da opção pré-selecionada, o sistema não será afetado pela vulnerabilidade.

Quem e o que são (provavelmente) afetados?

O Samba lançou o patch de código-fonte para essa lacuna, juntamente com as outras vulnerabilidades divulgadas a eles. Ele também anunciou que esta vulnerabilidade afeta todas as versões do Samba anteriores à 4.13.17. Além disso, liberações de segurança para corrigir essa lacuna foram emitidas para o Samba 4.13.17, 4.14.12 e 4.15.5, aconselhando os administradores a atualizar essas versões e aplicar o patch imediatamente. Os dispositivos de armazenamento conectado à rede (em inglês network-attached storage ou NAS) também são provavelmente afetados por essa vulnerabilidade e espera-se que os fornecedores lancem atualizações para seus respectivos dispositivos. A lista de fornecedores da empresa mostra que os setores potenciais afetados por essa preocupação de segurança incluem setores críticos, como comunicações, energia, governo, manufatura e ciência, e tecnologia, bem como dispositivos de consumo, como aparelhos e dispositivos de Internet das Coisas (IoT).

Como a vulnerabilidade do Samba pode ser mitigada?

Os patches foram lançados em janeiro e os administradores são aconselhados a utilizar as atualizações aplicáveis o mais rápido possível. Embora o fornecedor também tenha aconselhado a remoção do módulo Fruit VFS das linhas de objetos vfs como solução alternativa, isso pode afetar gravemente os sistemas macOS que tentam acessar as informações armazenadas no servidor. Os administradores são aconselhados a se concentrar em testar e implantar o patch para corrigir a vulnerabilidade. A ZDI também informa que muitos fornecedores diferentes precisarão atualizar sua versão para enviar com dispositivos afetados (como dispositivos NAS), portanto, o lançamento de patches adicionais pode ser esperado.

O Samba foi explorado por ataques?

Versões anteriores do Samba, como 3.6.3 e inferiores, relataram problemas de segurança que permitem que usuários não autorizados obtenham acesso root de uma conexão anônima explorando a chamada de procedimento remoto (em inglês Remote Procedure Call ou RPC) do Samba. Outras divulgações também foram feitas antes:

• Em 2016, o Badlock (atribuído CVE-2016-2118, classificado como Crítico) foi divulgado ao Windows e ao Samba, onde os protocolos de aumento, modificação e redefinição de substituição (SAMR) e domínio de autoridade de segurança local (LSAD) poderiam ser explorados para ataques do tipo man-in -the-middle (MiTM);

• Em 2017, uma lacuna de execução remota de código foi encontrada no Samba e denominada EternalRed ou SambaCry (atribuído CVE-2017-7494, classificado como Importante), que afetou todas as versões desde 3.5.0. NamPoHyu estava entre as famílias de ransomware que exploraram essa lacuna;

• Em 2020, foi identificada uma prova de conceito (proof of concept ou PoC) para uma vulnerabilidade Netlogon chamada Zerologon (atribuída CVE-2020-1472, classificada como Crítica). A falha permitiu que um invasor elevasse privilégios estabelecendo uma conexão de canal seguro Netlogon vulnerável a um controlador de domínio usando o Protocolo Remoto Netlogon (MS-NRPC). As agências federais que usam o software foram obrigadas a instalar os patches lançados em agosto do mesmo ano.

Dado o uso padrão do Samba para interoperabilidade do sistema por meio do protocolo SMB, os administradores devem monitorar arquivos compartilhados, impressoras e transmissões de dados de compartilhamento de acesso. O Windows SMB, que é usado para serviços remotos, pode ser explorado por invasores para se propagar pela rede da organização ou usado como ponto de partida para se espalhar para outros sistemas conectados. Os administradores são aconselhados a habilitar soluções que possam monitorar e verificar transmissões que exijam as configurações vfs_fruit.

Soluções Trend Micro

A Trend Micro lançou um artigo da Knowledge Base abordando essa questão de segurança. Além de instalar os patches lançados pelo fornecedor, a Trend Micro lançou regras suplementares, filtros e soluções de proteção de detecção que podem fornecer camadas adicionais de prevenção e mitigação contra componentes maliciosos que podem explorar essa vulnerabilidade.