Badlock

Badlock (CVE-2016-2118 и CVE-2016-0128) — ошибка в протоколе SMB/CIFS. Краткая информация об уязвимости была опубликована 24 марта 2016 года^[1], подробная информация и исправления — 12 апреля. Ошибка была обнаружена как в свободной реализации протокола (Samba 3.6-4.4^[2]), так и в Windows (CVE-2016-0128, MS16-047)^[3]. Также присутствует в ряде решений, основанных на Samba^[4]^[5].

Атака реализуется посредником (MITM), который используя DCERPC запросы снижает версию протокола MS-SAMR/MS-LSAD и переключает работу на слабозащищенный вариант авторизации^[6]. Была обнаружена полная незащищенность протоколов DCERPC^[7].

История

Уязвимость Badlock нашел^[8] сотрудник компании SerNet и член команды Samba Core Team Стефан Метцмахер (Stefan Metzmacher) в июле 2015 года. 31 июля 2015 об ошибке сообщили в Microsoft, в сентябре проведена встреча, затем был согласован срок раскрытия информации^[9].

24 марта была опубликована краткая информация об ошибке^[9].

Разработка исправлений велась на протяжении нескольких месяцев, потребовалось внести более 200 патчей в проект Samba^[10].

Публичное раскрытие информации произведено 12 апреля 2016 года^[10]. В тот же день вышли исправленные версии программ и обновления для Windows. Проект Samba выпустил исправленные версии 4.4.2, 4.3.8 и 4.2.11; исправления для более ранних версий — с 3.6 до 4.1 включительно — проектом не выпускались по причине окончания срока поддержки^[11]. Исправления для ряда более ранних версий подготовили дистрибьюторы ОС с длительными сроками поддержки, инженеры SUSE, RedHat и SerNet исправили версии 3.6, 3.4, 4.0^[10].

Microsoft выпустила обновление 3148527 и другие в рамках MS16-047 для операционных систем с Windows Vista до Windows 10 включительно, Server 2008, 2012 а также Core^[3].

Уязвимость получила оценку по шкале CVSS в 7.1/6.4 баллов из 10^[11].

Широкая маркетинговая кампания уязвимости подверглась критике, первоначальные сообщения не исключали удаленного исполнения кода, но некоторые СМИ сочли, что на самом деле ошибка лишь позволяет атаку посредника против сервисов общих файлов и печати. Запоминающееся название, отдельный сайт, внимание СМИ, красивые картинки по отдельным мнениям отвлекают внимание пользователей и администраторов от по-настоящему опасных уязвимостей, в том числе исправленных одновременно с badlock, как в продуктах Microsoft, так и в Adobe Flash^[12]^[13].

Примечания

↑ Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba Архивная копия от 23 апреля 2016 на Wayback Machine / Xakep, 2016-03-24
↑ SAMR and LSA man in the middle attacks possible (англ.). SAMBA. Дата обращения: 23 октября 2016. Архивировано 22 мая 2016 года.
↑ ¹ ² Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 10 ноября 2016 года.
↑ IBM Security Bulletin: Badlock Samba vulnerability issue on IBM Storwize V7000 Unified (CVE-2016-2118) - United States (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ Support | Novell products and Badlock Samba vulnerability (CVE-2016-2118) (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ Peter Siering (2016-04-15). "Badlock – Why the Windows and Samba Vulnerability is Important" (англ.). heise.de. Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.
↑ Stefan Metzmacher. Improving DCERPC Security (англ.). SNIA SDC (20 сентября 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ SerNet (неопр.). Дата обращения: 13 апреля 2016. Архивировано из оригинала 8 мая 2016 года.
↑ ¹ ² Stefan Metzmacher. Badlock. One Year In Security Hell (англ.). SambaXP (11 мая 2016). Дата обращения: 23 октября 2016. Архивировано из оригинала 23 октября 2016 года.
↑ ¹ ² ³ Alexander Bokovoy. How Badlock Was Discovered and Fixed (англ.). RED HAT ENTERPRISE LINUX BLOG (15 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ ¹ ² Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016). Дата обращения: 13 апреля 2016. Архивировано 22 апреля 2016 года.
↑ Fahmida Y. Rashid (Apr 13, 2016). "Don't let Badlock distract you from real vulnerabilities" (англ.). Infoworld (IDG). Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.
↑ Badlock revealed – probably not as bad as you thought – Naked Security (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

Ссылки

Badlock Bug (англ.).
CVE-2016-2118 a.k.a BADLOCK. SAMR and LSA man in the middle attacks possible (англ.). SAMBA.
Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016.
CVE-2016-2118 / NVD (англ.)
Security Week 12 (неопр.). Хабрахабр, блог компании «Лаборатория Касперского» (25 марта 2016).
Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016).
Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba / Xakep, 2016-03-24
Chris Williams, Bug hype haters gonna hate hate hate: Badlock flaw more like Sadlock. Windows, Samba vulnerability needs patching — but don’t panic / The Register, 12 Apr 2016

[1] Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba Архивная копия от 23 апреля 2016 на Wayback Machine / Xakep, 2016-03-24

[2] SAMR and LSA man in the middle attacks possible (англ.). SAMBA. Дата обращения: 23 октября 2016. Архивировано 22 мая 2016 года.

[ms16-047-3] ¹ ² Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 10 ноября 2016 года.

[4] IBM Security Bulletin: Badlock Samba vulnerability issue on IBM Storwize V7000 Unified (CVE-2016-2118) - United States (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[5] Support | Novell products and Badlock Samba vulnerability (CVE-2016-2118) (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[6] Peter Siering (2016-04-15). "Badlock – Why the Windows and Samba Vulnerability is Important" (англ.). heise.de. Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.

[7] Stefan Metzmacher. Improving DCERPC Security (англ.). SNIA SDC (20 сентября 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[8] SerNet (неопр.). Дата обращения: 13 апреля 2016. Архивировано из оригинала 8 мая 2016 года.

[autogenerated1-9] ¹ ² Stefan Metzmacher. Badlock. One Year In Security Hell (англ.). SambaXP (11 мая 2016). Дата обращения: 23 октября 2016. Архивировано из оригинала 23 октября 2016 года.

[rh-CVE-2016-2118-badlock-how-10] ¹ ² ³ Alexander Bokovoy. How Badlock Was Discovered and Fixed (англ.). RED HAT ENTERPRISE LINUX BLOG (15 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[autogenerated2-11] ¹ ² Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016). Дата обращения: 13 апреля 2016. Архивировано 22 апреля 2016 года.

[12] Fahmida Y. Rashid (Apr 13, 2016). "Don't let Badlock distract you from real vulnerabilities" (англ.). Infoworld (IDG). Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.

[13] Badlock revealed – probably not as bad as you thought – Naked Security (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]