Badlock

Badlock (CVE-2016-2118 и CVE-2016-0128) — ошибка в протоколе SMB/CIFS. Краткая информация об уязвимости была опубликована 24 марта 2016 года[1], подробная информация и исправления — 12 апреля. Ошибка была обнаружена как в свободной реализации протокола (Samba 3.6-4.4[2]), так и в Windows (CVE-2016-0128, MS16-047)[3]. Также присутствует в ряде решений, основанных на Samba[4][5].

Логотип ошибки Badlock

Атака реализуется посредником (MITM), который используя DCERPC запросы снижает версию протокола MS-SAMR/MS-LSAD и переключает работу на слабозащищенный вариант авторизации[6]. Была обнаружена полная незащищенность протоколов DCERPC[7].

ИсторияПравить

Уязвимость Badlock нашел[8] сотрудник компании SerNet и член команды Samba Core Team Стефан Метцмахер (Stefan Metzmacher) в июле 2015 года. 31 июля 2015 об ошибке сообщили в Microsoft, в сентябре проведена встреча, затем был согласован срок раскрытия информации[9].

24 марта была опубликована краткая информация об ошибке[9].

Разработка исправлений велась на протяжении нескольких месяцев, потребовалось внести более 200 патчей в проект Samba[10].

Публичное раскрытие информации произведено 12 апреля 2016 года[10]. В тот же день вышли исправленные версии программ и обновления для Windows. Проект Samba выпустил исправленные версии 4.4.2, 4.3.8 и 4.2.11; исправления для более ранних версий — с 3.6 до 4.1 включительно — проектом не выпускались по причине окончания срока поддержки[11]. Исправления для ряда более ранних версий подготовили дистрибьюторы ОС с длительными сроками поддержки, инженеры SUSE, RedHat и SerNet исправили версии 3.6, 3.4, 4.0[10].

Microsoft выпустила обновление 3148527 и другие в рамках MS16-047 для операционных систем с Windows Vista до Windows 10 включительно, Server 2008, 2012 а также Core[3].

Уязвимость получила оценку по шкале CVSS в 7.1/6.4 баллов из 10[11].

Широкая маркетинговая кампания уязвимости подверглась критике, первоначальные сообщения не исключали удаленного исполнения кода, но некоторые СМИ сочли, что на самом деле ошибка лишь позволяет атаку посредника против сервисов общих файлов и печати. Запоминающееся название, отдельный сайт, внимание СМИ, красивые картинки по отдельным мнениям отвлекают внимание пользователей и администраторов от по-настоящему опасных уязвимостей, в том числе исправленных одновременно с badlock, как в продуктах Microsoft, так и в Adobe Flash[12][13].

ПримечанияПравить

  1. Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba Архивная копия от 23 апреля 2016 на Wayback Machine / Xakep, 2016-03-24
  2. SAMR and LSA man in the middle attacks possible (англ.). SAMBA. Дата обращения: 23 октября 2016. Архивировано 22 мая 2016 года.
  3. 1 2 Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 10 ноября 2016 года.
  4. IBM Security Bulletin: Badlock Samba vulnerability issue on IBM Storwize V7000 Unified (CVE-2016-2118) - United States. Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
  5. Support | Novell products and Badlock Samba vulnerability (CVE-2016-2118). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
  6. Peter Siering. Badlock – Why the Windows and Samba Vulnerability is Important (англ.), heise.de (15.04.2016). Архивировано 23 октября 2016 года. Дата обращения: 23 октября 2016.
  7. Stefan Metzmacher. Improving DCERPC Security (англ.). SNIA SDC (20 сентября 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
  8. SerNet. Дата обращения: 13 апреля 2016. Архивировано из оригинала 8 мая 2016 года.
  9. 1 2 Stefan Metzmacher. Badlock. One Year In Security Hell (англ.). SambaXP (11 мая 2016). Дата обращения: 23 октября 2016. Архивировано из оригинала 23 октября 2016 года.
  10. 1 2 3 Alexander Bokovoy. How Badlock Was Discovered and Fixed (англ.). RED HAT ENTERPRISE LINUX BLOG (15 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
  11. 1 2 Раскрыты детали уязвимости Badlock в Samba. Opennet (12 апреля 2016). Дата обращения: 13 апреля 2016. Архивировано 22 апреля 2016 года.
  12. Fahmida Y. Rashid. Don't let Badlock distract you from real vulnerabilities (англ.), Infoworld (IDG) (Apr 13, 2016). Архивировано 23 октября 2016 года. Дата обращения: 23 октября 2016.
  13. Badlock revealed – probably not as bad as you thought – Naked Security. Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

СсылкиПравить