Badlock
Badlock (CVE-2016-2118 и CVE-2016-0128) — ошибка в протоколе SMB/CIFS. Краткая информация об уязвимости была опубликована 24 марта 2016 года[1], подробная информация и исправления — 12 апреля. Ошибка была обнаружена как в свободной реализации протокола (Samba 3.6-4.4[2]), так и в Windows (CVE-2016-0128, MS16-047)[3]. Также присутствует в ряде решений, основанных на Samba[4][5].
Атака реализуется посредником (MITM), который используя DCERPC запросы снижает версию протокола MS-SAMR/MS-LSAD и переключает работу на слабозащищенный вариант авторизации[6]. Была обнаружена полная незащищенность протоколов DCERPC[7].
ИсторияПравить
Уязвимость Badlock нашел[8] сотрудник компании SerNet и член команды Samba Core Team Стефан Метцмахер (Stefan Metzmacher) в июле 2015 года. 31 июля 2015 об ошибке сообщили в Microsoft, в сентябре проведена встреча, затем был согласован срок раскрытия информации[9].
24 марта была опубликована краткая информация об ошибке[9].
Разработка исправлений велась на протяжении нескольких месяцев, потребовалось внести более 200 патчей в проект Samba[10].
Публичное раскрытие информации произведено 12 апреля 2016 года[10]. В тот же день вышли исправленные версии программ и обновления для Windows. Проект Samba выпустил исправленные версии 4.4.2, 4.3.8 и 4.2.11; исправления для более ранних версий — с 3.6 до 4.1 включительно — проектом не выпускались по причине окончания срока поддержки[11]. Исправления для ряда более ранних версий подготовили дистрибьюторы ОС с длительными сроками поддержки, инженеры SUSE, RedHat и SerNet исправили версии 3.6, 3.4, 4.0[10].
Microsoft выпустила обновление 3148527 и другие в рамках MS16-047 для операционных систем с Windows Vista до Windows 10 включительно, Server 2008, 2012 а также Core[3].
Уязвимость получила оценку по шкале CVSS в 7.1/6.4 баллов из 10[11].
Широкая маркетинговая кампания уязвимости подверглась критике, первоначальные сообщения не исключали удаленного исполнения кода, но некоторые СМИ сочли, что на самом деле ошибка лишь позволяет атаку посредника против сервисов общих файлов и печати. Запоминающееся название, отдельный сайт, внимание СМИ, красивые картинки по отдельным мнениям отвлекают внимание пользователей и администраторов от по-настоящему опасных уязвимостей, в том числе исправленных одновременно с badlock, как в продуктах Microsoft, так и в Adobe Flash[12][13].
ПримечанияПравить
- ↑ Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba Архивная копия от 23 апреля 2016 на Wayback Machine / Xakep, 2016-03-24
- ↑ SAMR and LSA man in the middle attacks possible (англ.). SAMBA. Дата обращения: 23 октября 2016. Архивировано 22 мая 2016 года.
- ↑ 1 2 Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 10 ноября 2016 года.
- ↑ IBM Security Bulletin: Badlock Samba vulnerability issue on IBM Storwize V7000 Unified (CVE-2016-2118) - United States (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
- ↑ Support | Novell products and Badlock Samba vulnerability (CVE-2016-2118) (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
- ↑ Peter Siering. Badlock – Why the Windows and Samba Vulnerability is Important (англ.), heise.de (15.04.2016). Архивировано 23 октября 2016 года. Дата обращения: 23 октября 2016.
- ↑ Stefan Metzmacher. Improving DCERPC Security (англ.). SNIA SDC (20 сентября 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
- ↑ SerNet (неопр.). Дата обращения: 13 апреля 2016. Архивировано из оригинала 8 мая 2016 года.
- ↑ 1 2 Stefan Metzmacher. Badlock. One Year In Security Hell (англ.). SambaXP (11 мая 2016). Дата обращения: 23 октября 2016. Архивировано из оригинала 23 октября 2016 года.
- ↑ 1 2 3 Alexander Bokovoy. How Badlock Was Discovered and Fixed (англ.). RED HAT ENTERPRISE LINUX BLOG (15 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
- ↑ 1 2 Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016). Дата обращения: 13 апреля 2016. Архивировано 22 апреля 2016 года.
- ↑ Fahmida Y. Rashid. Don't let Badlock distract you from real vulnerabilities (англ.), Infoworld (IDG) (Apr 13, 2016). Архивировано 23 октября 2016 года. Дата обращения: 23 октября 2016.
- ↑ Badlock revealed – probably not as bad as you thought – Naked Security (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
СсылкиПравить
- Badlock Bug (англ.).
- CVE-2016-2118 a.k.a BADLOCK. SAMR and LSA man in the middle attacks possible (англ.). SAMBA.
- Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016.
- CVE-2016-2118 / NVD (англ.)
- Security Week 12 (неопр.). Хабрахабр, блог компании «Лаборатория Касперского» (25 марта 2016).
- Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016).
- Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba / Xakep, 2016-03-24
- Chris Williams, Bug hype haters gonna hate hate hate: Badlock flaw more like Sadlock. Windows, Samba vulnerability needs patching — but don’t panic / The Register, 12 Apr 2016