Cos'è Badlock e come funziona?

1

Qualche tempo fa c'era un annuncio per la divulgazione di una vulnerabilità di sicurezza chiamata "Badlock" - includendo questo nome di fantasia e un logo .

La data di divulgazione era oggi e sono rimasto sorpreso (e scioccato) a leggere che l'attacco avrebbe consentito a un utente malintenzionato di ottenere privilegi amministrativi per un controllore di directory attivo.

In che modo un utente malintenzionato può accedere all'amministratore sfruttando Badlock? o formulato in modo leggermente diverso: Come funziona il badlock?

Domanda bonus: come potrei attenuarla se non ci fosse una patch?

    
posta SEJPM 12.04.2016 - 23:35
fonte

1 risposta

1

Badlock è stato massicciamente sovrascritto e, a quanto pare, il nome non ha nulla a che fare con la vulnerabilità (non ha nulla a che fare con cattivi lock, mutex, o qualcosa del genere). Richiede un attacco man-in-the-middle da eseguire e consente a un utente malintenzionato di eseguire chiamate di rete Samba arbitrarie utilizzando il contesto dell'utente intercettato. L'attaccante otterrà l'accesso in lettura e scrittura al database SAM e avrà accesso agli hash delle password, che potranno utilizzare per elevare i privilegi.

La vulnerabilità è CVE-2016-2118 . Secondo la sua pagina di descrizione:

The MS-SAMR and MS-LSAD protocol implementations in Samba 3.x and 4.x before 4.2.11, 4.3.x before 4.3.8, and 4.4.x before 4.4.2 mishandle DCERPC connections, which allows man-in-the-middle attackers to perform protocol-downgrade attacks and impersonate users by modifying the client-server data stream, aka "BADLOCK."

    
risposta data 07.04.2018 - 14:18
fonte

Leggi altre domande sui tag