Badlock-haavoittuvuus Windows- ja Samba-järjestelmien toimialueelle tunnistautumisessa

Windows-toimialueeseen tunnistautumisessa käytetyissä protokollissa havaittu haavoittuvuus voi mahdollistaa välimieshyökkäyksen kautta pääsyn järjestelmään tai johtaa palvelunestotilaan. Päivitykset on määritelty tärkeiksi.

Badlock-haavoittuvuudeksi nimetty virhe SAMR (Security Account Manager Remote) ja LSAD (Local Security Authority) protokollissa aiheuttaa etäproseduurikutsukanavan (RPC-channel, Remote Procedure Call) virheellisen muodostumisen, joka voi mahdollistaa hyökkääjän pääsemisen järjestelmään tunnistettuna käyttäjänä tai pääsyn järjestelmän SAM- (Security Account Manager) tietokantaan.

Haavoittuvuuden hyväksikäyttö edellyttää hyökkääjän pääsemistä välimieshyökkäyksellä (MiTM) palvelimen ja asiakkaan väliin. Tämän myötä hyökkääjä voi heikentää etäproseduurikutsuihin käytetyn kanavan tunnistamiseen käytettyä salausmenetelmää ja sen jälkeen väärentää itsensä tunnistetuksi käyttäjäksi. Hyökkääjä voi hyödyntää haavoittuvuutta myös saattaakseen kohdejärjestelmän palvelunestotilaan.

SAMR- ja LSAD-protokollia käytetään Windows- ja Samba-järjestelmissä (Unix/Linux järjestelmien toteutus) tunnistettaessa käyttäjiä toimialueelle.

Haavoittuvuuteen on olemassa korjaus. Windows-järjestelmien korjauspäivitys on saatavilla 12.4 julkaistujen päivitysten yhteydessä Microsoftin tunnisteella MS16-047. Haavoittuvuus on Windows-järjestelmissä korjattu haavoittuvuustunnisteella CVE-2016-0128.

Samba-ohjelmiston haavoittuvuudelle on annettu tunniste CVE-2016-2118 ja ohjelmistopäivitykset ovat saatavissa ohjelmiston sivuilta. Samba-ohjelmiston päivitys korjaa myös 7 muuta haavoittuvuutta.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Käyttövaltuuksien laajentaminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Haavoittuvia järjestelmiä ovat myös:

  • Active Directory infrastruktuuri, jossa on päivittämätön Samba-palvelin toimialueen jäsenenä, mahdollistaa haavoittuvuuden hyväksikäytön välimieshyökkäyksellä.
  • Myös yksittäinen päivittämätön Samba-palvelin, joka toimii tiedoston- tai tulostuksenjakopalvelimena on haavoittuva. Hyökkääjän on mahdollista hyödyntää haavoittuvuutta välimieshyökkäyksen avulla.

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä ohjelmistot valmistajan ohjeiden mukaisesti.
  • Samba-ohjelmiston sivuilla on kerrottu myös rajoitusmahdollisuuksista
  • Mikäli päivitystä ei omaan ympäristöön ole saatavilla on syytä rajoittaa palvelimeen pääsyä internetistä esimerkiksi palomuurilla.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248