Elia Tufarolo

Vulnerabilità in Samba, un nuovo WannaCry?

Patchato un bug, presente da anni, che potrebbe consentire a un utente remoto di acquisire il controllo totale del sistema vittima. L'exploit è stato ribattezzato EternalRed in "onore" di EternalBlue

Roma - Il team di Samba, con la collaborazione di Volker Lendecke di SerNet, ha recentemente rilasciato una patch di sicurezza a seguito della scoperta di una grave vulnerabilità di tipo remote code execution, nota come CVE-2017-7494. Tale vulnerabilità, presente da ben 7 anni e passata apparentemente inosservata, consente a un utente malevolo - locale o remoto - di caricare una libreria condivisa su di uno share con i permessi di scrittura abilitati, per poi farla eseguire al server: in questo modo, l'utente diviene in grado di eseguire comandi sul sistema, che potrebbero comportare tentativi di privilege escalation.

output metasploit samba

La vulnerabilità è stata scoperta da un white-hat di nome Steelo, il quale ha anche pubblicato un exploit, battezzandolo EternalRed in comparazione con EternalBlue su cui è basato il ransomware WannaCry. Analizzando il codice dell'exploit, risulta evidente che basti avere un account guest abilitato sul server per aggirare il controllo delle credenziali di accesso, e uno share attivo con permessi in scrittura per poter sfruttare la falla da remoto.

Poste queste condizioni, per l'attaccante diventa possibile caricare una libreria sul suddetto samba share per poi, una volta individuato il full path del file, eseguirlo in memoria per mezzo di una richiesta IPC (Inter-Process Communication) opportunamente modificata.
Analizzando il file della patch, è possibile vedere come la richiesta IPC modificata di cui sopra porti all'apertura di una named pipe considerata erroneamente "sicura".


Il bug ha molto in comune, sia dal punto di vista software che da quello temporale, con il ransomware WannaCry che ha infettato oltre 200.000 computer Windows in tutto il mondo: tuttavia, per una serie di motivi, le probabilità che il fenomeno si ripeta sono ridotte: per prima cosa, un attacco client-to-server di questo tipo è più complicato da effettuare rispetto all'attacco client-to-client su cui è invece basato l'exploit EternalBlue; dopodiché, andrebbe individuato un server non patchato che abbia anche le caratteristiche sopra descritte.

Ciononostante, la società di sicurezza informatica Rapid7 ha effettuato due scansioni Sonar sulle porte 139 e 445, rilevando oltre 200.000 server Samba non ancora patchati: un dato quantomeno allarmante.

Le versioni di Samba impattate dalla vulnerabilità sono la 3.5, che risale a Marzo 2010, e le successive. È estremamente consigliato aggiornare Samba: gli ultimi rilasci che includono la patch sono i seguenti: 4.6.4, 4.5.10, 4.4.14. Per quanto riguarda le versioni di Samba antecedenti la 4.4, è possibile applicare la patch al codice sorgente e ricompilare, seguendo l'apposita procedura; in alternativa, aggiungendo il parametro nt pipe support = no al file di configurazione smb.conf, è possibile precludere ai client l'accesso alle named pipe, rendendo impossibile lo sfruttamento del bug.

Elia Tufarolo

fonte immagine
Notizie collegate
  • SicurezzaWannaCry, analisi tecnica del ransomwareSono più di 20 le versioni diffuse e svariate le realtà infettate in oltre 100 nazioni. Ecco il flusso di esecuzione di WannaCry, il cryptomalware che sta tenendo sotto scacco gli utenti Windows e i media di tutto il mondo
  • AttualitàIl dopo WannaCry? Di male in peggioSe il ransomware WannaCry ha fatto piangere, quello che verrà sarà terrore puro: a prometterlo è il gruppo di cracker Shadow Brokers
  • SicurezzaChrome, un bug per rubare credenziali WindowsIl famoso browser di Google contiene un bug che se sfruttato potrebbe consentire agli hacker di rubare le credenziali di autenticazione della vittima e lanciare attacchi di tipo SMB Relay
  • AttualitàLampi di Cassandra/ Attacco? No, menefreghismodi M. Calamari - Perché i media si ostinano da giorni a definire WannaCry un "attacco", contribuendo così a creare disinformazione e a fomentare il panico?
  • SicurezzaMicrosoft, finalmente le patchRedmond si rimette in carreggiata con un Patch Tuesday senza precedenti, come senza precedenti era stata la pausa forzata annunciata il mese scorso. Centinaia i bachi correttim incluso uno per cui è già in circolazione il codice di exploit
  • AttualitàWannaCry, ransomware da prima paginaFine settimana di passione sul fronte della sicurezza informatica, con un ransomware piuttosto anonimo impegnato a generare il panico sui PC di tutto il mondo - e soprattutto sui media. Pericolosa la minaccia, scarsi i guadagni
33 Commenti alla Notizia Vulnerabilità in Samba, un nuovo WannaCry?
Ordina
  • samba --version

    >Version 4.3.11-Ubuntu
  • Sapete quanti tentativi di bruteforce ( poi bloccati) da NAS infetti usati come bot riceviamo su un nostro server? 1 ogni 10 secondi.
    Quando andiamo a visitare l'indirizzo ip che sta tentando l'accesso , si arriva direttamente al pannello di login con adnim admin.


    .
    non+autenticato
  • - Scritto da: Digital Coach Italia
    [...]
    > Quando andiamo a visitare l'indirizzo ip che sta
    > tentando l'accesso , si arriva direttamente al
    > pannello di login con adnim
    > admin.

    Sai la collezione di pornazzi che vi fate!
    non+autenticato
  • - Scritto da: betteridge
    > risposta: no.

    Non c'è bisogno di un ransomware per bloccare linux, basta un aggiornamento qualunque.
    non+autenticato
  • Avete sparato merda sopra Windows, quando anche voi eravate con buco aperto!
    non+autenticato
  • Veramente? Cavolo e com'è che tutti i desktop e server GNU/Linux non han mai visto un ramsonware?

    Ps chi usa Samba esposto ad internet? Per caso qualche NAS domestico nattato, venduto&abbandonato da qualche produttore?
    non+autenticato
  • - Scritto da: xte
    > Veramente? Cavolo e com'è che tutti i desktop e
    > server GNU/Linux non han mai visto un ramsonware?

    Forse perchè Linux desktop sta al 2% ?
    Forse perchè non ha senso creare un ransomware per un server visto che chi lo amministra fa il backup ?
    Forse perchè le vulnerabilità 0-day sono appannaggio delle agenzie di spionaggio che le usano per altri scopi che non sono il chiedere in cambio bitcoin ?

    Se poi col tuo intervento ti riferisci alla vulnerabilità di Wannacry si stava parlando di tool creati nientedimeno che dall'NSA e rubati da cyber-criminali.
    Gli USA spendono 20 miliardi di dollari all'anno solo nel cyber-spionaggio e tu pensi che le vulnerabilità dei sistemi Linux vengano a dirle proprio a te ?
    Continua pure a vivere nell'illusione che ci siano OS sicuri, anzi no...che Linux sia sicuro.
    non+autenticato
  • Ahem, il 2% è forse il desktop, di tutti i dispositivi connessi, dai root server di internet al tuo smarphone direi che la percentuale è un po' diversa no?

    > Forse perchè non ha senso creare un ransomware per un server
    > visto che chi lo amministra fa il backup ?
    Oh, ma allora mi vuoi dire che tutte le aziende "in ginocchio" per wannacry ecc non avevano un backup o magari non han mai fatto un restore e al momento di farlo han scoperto che non funziona? Accidenti, che gran professionalità...
    non+autenticato
  • - Scritto da: xte
    > Ahem, il 2% è forse il desktop, di tutti i
    > dispositivi connessi, dai root server di internet
    > al tuo smarphone direi che la percentuale è un
    > po' diversa
    > no?

    Tu hai parlato di server e desktop e mi spiace per te ma la percentuale del desktop Linux in data odierna è 1.99%.
    Quindi: se tu parli di una cosa le persone di rispondono nel merito, se tu parli di una altra ti risponderanno per quella.
    Se tu con le parole "desktop" e "server" intendevi anche il settore mobile allora credo che tu debba dare una ripassata all'italiano e ai termini di uso nell'informatica che, tra l'altro, ormai anche l'utente comune capisce e quindi mi sorprendo quando leggo che tu sei uno che di professione si occupa di informatica.

    > > Forse perchè non ha senso creare un
    > ransomware per un
    > server
    > > visto che chi lo amministra fa il backup ?
    > Oh, ma allora mi vuoi dire che tutte le aziende
    > "in ginocchio" per wannacry ecc non avevano un
    > backup

    Di sicuro non avevano patchato il sistema operativo, cosa che un amministratore fa come buona pratica, e soprattutto un amministratore va a leggersi le release note sulle patch e soprattutto i bollettini sulla sicurezza degli OS che amministra, e poi agisce di conseguenza.
    Di norma, anche, non lascia un OS obosleto e non più manutenuto esposto alla rete.
    Non so se tu queste cose le sai.

    > o magari non han mai fatto un restore e al
    > momento di farlo han scoperto che non funziona?

    Mi stai dicendo che il restore di un backup non funziona con un ransomware ? Mah...e tu saresti un amministratore di sistemi ?
    Al limite quello che si fa è una analisi dei costi: quanto mi costa tenere fermo il server per ripristinare il backup e quanto mi costa pagare il riscatto, poi uno agisce di conseguenza.
    Scusa ma tu di mestiere cosa fai, sinceramente ?

    > Accidenti, che gran
    > professionalità...

    Si infatti, e questo cosa c'entra col discorso sui sistemi operativi ?


    E adesso.... visto che per te, che sei un esperto di informatica, desktop e server = smartphone, ti rispondo nel merito:

    - Scritto da: xte
    > Veramente? Cavolo e com'è che tutti i desktop e
    > server GNU/Linux non han mai visto un ramsonware?


    Digita su Google: Android Malware

    Buon divertimento, esperto.
    non+autenticato
  • Guarda che gli specchi son scivolosi... Se leggessi il thread scopriresti che, in sintesi:
    - io ho detto che non ci sono su GNU/Linux (e su nessun *nix, se è per quello) episodi "planetari" di ransomware&c, ci sono solo rare notizie di bug potenzialmente sfruttabili da remoto. Su Windows ci sono non troppo rare notizie di bug *sfruttati* che han colpito n-mila utenti, sia domestici che business, anche di istituzioni che Windows non dovrebbero averlo manco mai preso in considerazione.

    - tu hai detto che su GNU/Linux ci sono tante vulnerabilità (che io correggo in "sono state scoperte e patchate") e che non ci sono ransomware&c perché su un server il "recovery" sarebbe semplicemente un restore, alché ho ribattuto: allora come spieghi tutte quelle aziende di medie e grandi dimensioni colpite dal recente Wannacry e da altri prima che han invece avuto problemi? Non han forse loro un backup funzionante?

    Dai, se ti impegni almeno con la comprensione dell'italiano ce la puoi fare.

    Ps dalle mie lande siamo quasi 100% IaC da prima che coniassero l'acronimo.
    non+autenticato
  • - Scritto da: xte
    > Guarda che gli specchi son scivolosi...

    Si, soprattutto per una faccia di palta come te che hai dimostrato varie volte di avere e che addirittura arriva a negare l'evidenza, come se negandola gli altri non si accorgessero di che tipo sei.

    > Se
    > leggessi il thread

    Impara a leggere tu quello che scrivi che stai passando per un analfabeta, te lo riposto nel caso non lo avessi letto e/o capito:

    - Scritto da: xte
    > Veramente? Cavolo e com'è che tutti i desktop e
    > server GNU/Linux non han mai visto un ramsonware?


    Hai letto bene cosa hai scritto ? L'hai scritto tu eh. E io ti ho risposto nel merito.
    Adesso stai passando pure per uno che non c'è tanto con la testa.

    > scopriresti che, in
    > sintesi:
    > - io ho detto che non ci sono su GNU/Linux (e su
    > nessun *nix, se è per quello) episodi "planetari"
    > di ransomware&c, ci sono solo rare notizie di bug
    > potenzialmente sfruttabili da remoto.

    Su questo 3d ? E dove ? Dai mostrami esattamente in quali post hai detto tutto questo.
    Oppure è la libera interpretazione che dai dei tuoi interventi ?

    > Su Windows
    > ci sono non troppo rare notizie di bug
    > *sfruttati* che han colpito n-mila utenti, sia
    > domestici che business, anche di istituzioni che
    > Windows non dovrebbero averlo manco mai preso in
    > considerazione.

    In questo 3d tu avresti detto tutto questo ? Ok, mostrami dove, voglio vedere fino a dove ti spingi con la tua faccia di palta.

    > - tu hai detto che su GNU/Linux ci sono tante
    > vulnerabilità (che io correggo in "sono state
    > scoperte e patchate")

    EEhhhhhh ????????? Cosa ho detto ????????
    No tu non ci sei proprio con la testa.
    Adesso ho capito il problema: è che tu ti inventi cose che altri non hanno detto e/o le interpreti, così come intepreti liberamente le tue, a seconda della convenienza, in altre parole confermi che hai la faccia come il c..o.

    > e che non ci sono
    > ransomware&c perché su un server il "recovery"
    > sarebbe semplicemente un restore, alché ho
    > ribattuto: allora come spieghi tutte quelle
    > aziende di medie e grandi dimensioni colpite dal
    > recente Wannacry e da altri prima che han invece
    > avuto problemi? Non han forse loro un backup
    > funzionante?

    La spiegazione te l'ho data ma se tu non sai leggere oppure interpreti a tuo modo le cose che gli altri e che tu stesso scrivi e considerato che non ci sei con la testa, c'è poco da fare.

    > Dai, se ti impegni almeno con la comprensione
    > dell'italiano ce la puoi
    > fare.

    Imparalo tu l'italiano, che a leggerti sembri uno che ha grossi problemi di comprensione del testo anche quando ci sono scritte poche cose elementari..... oltre a sembrare uno che non è tanto a posto.

    > Ps dalle mie lande siamo quasi 100% IaC da prima
    > che coniassero
    > l'acronimo.

    E allora ?
    non+autenticato
  • > - io ho detto che non ci sono su GNU/Linux (e su
    > nessun *nix, se è per quello) episodi "planetari"
    > di ransomware&c, ci sono solo rare notizie di bug

    E' un po' duro che ci siano episodi planetari di ransomware su un sistema che conta il 2% dell'installato, e si il ransomware punta solo ai desktop visto che crittografare un router non ha alcun senso.

    I router trapanati vengono tranquillamente usati per creare botnet, e queste non sono affatto rare.

    una:

    http://www.securityweek.com/new-remaiten-malware-b...

    due:

    https://www.ilsoftware.it/articoli.asp?tag=Botnet-...

    tre:

    https://blog.fortinet.com/2016/10/20/themoon-a-p2p...

    > - tu hai detto che su GNU/Linux ci sono tante
    > vulnerabilità (che io correggo in "sono state
    > scoperte e patchate") e che non ci sono

    Come quella di wannacry, ma anche di sasser, blaster e tutte le ultime più recenti.

    Del resto è molto più semplice fare il reverse engineering di una patch e puntare sui sistemi non patchati che scoprire un bug.

    > avuto problemi? Non han forse loro un backup
    > funzionante?

    Probabile, ma è molto più probabile che le aziende abbiano avuto problemi sui desktop e non sui server.
    non+autenticato
  • - Scritto da: xte

    > Ahem, il 2% è forse il desktop, di tutti i
    > dispositivi connessi, dai root server di internet
    > al tuo smarphone direi che la percentuale è un
    > po' diversa no?

    ...che infatti sono attaccati

    edit: mi riferisco in particolar modo agli smartphone

    Scusate, ma a me pare chiaro che il fattore umano sia il primo da prendere in considerazione quando si tratta di sicurezza. Se non ci sarebbe ragione per formare, sensibilizzare. Basterebbe risolvere tutto con lo strumento, no?
    -----------------------------------------------------------
    Modificato dall' autore il 09 giugno 2017 10.46
    -----------------------------------------------------------
    FDG
    11001
  • - Scritto da: xte

    > Veramente? Cavolo e com'è che tutti i desktop e
    > server GNU/Linux non han mai visto un ramsonware?

    I grossi numeri per chi organizza certe operazioni non ce li hai su linux
    FDG
    11001
  • Non è linux ad essere vulnerabile ma un componente che è sviluppato scollegato all'OS
    non+autenticato
  • dalla CVE:

    ===========
    Description
    ===========

    All versions of Samba from 3.5.0 onwards are vulnerable to a remote
    code execution vulnerability, allowing a malicious client to upload a
    shared library to a writable share, and then cause the server to load
    and execute it.



    Non si parla di elevamento dei privilegi quindi al massimo viene eseguito come utente associato al servizio. Se fai girare un servizio come root stai semplicemente cercando rogne...
    non+autenticato
  • Ti ringrazio per la segnalazione, ho corretto un po' il tiroSorride
  • > Non si parla di elevamento dei privilegi quindi
    > al massimo viene eseguito come utente associato
    > al servizio. Se fai girare un servizio come root
    > stai semplicemente cercando
    > rogne...

    Semplicemnete eseguire samba come utente non root non ha senso e non e' neppure possibile.
    Infatti per molte operazioni sui file il demone di samba prende i privilegi dell'utente attualmente loggato.
    non+autenticato
  • > Non si parla di elevamento dei privilegi quindi
    > al massimo viene eseguito come utente associato
    > al servizio. Se fai girare un servizio come root
    > stai semplicemente cercando
    > rogne...

    samba gira come root altrimenti non può forkare processi con le credenziali degli utenti.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)