e-Guardian - distribuidor Proofpoint - revenda Proofpoint - SAMBA

Falha no SAMBA pode ser explorada por RANSOMWARE

Falha no SAMBA do Linux poderia ser explorado e usado em ataques de worms de rede.

Uma falha crítica de Samba foi descoberta tem potencial para ser explorada e usada para ataques de worm de rede semelhantes aos que resultaram em mais de 300 mil infecções pelo Wanacry.

O Samba é usado para fornecer serviços de arquivo e impressão do Windows em servidores Unix e Linux e é baseado no protocolo do Windows Server Message Block (SMB) que foi explorado nos recentes ataques de Ransomware WannaCry.

e-Guardian - distribuidor Proofpoint - revenda Proofpoint - SAMBA-FLAW

A vulnerabilidade é explorada pelo worm para execução remota de códigos. Essa vulnerabilidade foi detectada em SAMBA nas versões 3.5.0 e acima.

A falha do SAMBA existe há cerca de 7 anos (pode ser rastreada como CVE-2017-7494), embora não se tenha conhecimento de casos de ataques conhecidos.

O Samba é comumente instalado em servidores Linux corporativos, com cerca de 104.000 máquinas que se acredita serem vulneráveis, em uma pesquisa recente conduzida por pesquisadores da Rapid7. A falha do SAMBA pode ser explorada facilmente, exigindo apenas uma única linha de código. A vulnerabilidade do Samba foi avaliada como crítica, embora a boa notícia seja o Samba já emitiu uma atualização que aborda a vulnerabilidade. O patch pode ser aplicado às versões 4.4 e acima.

Qualquer organização que esteja usando uma versão não suportada do Samba, ou não consegue aplicar o patch, pode usar uma solução alternativa para resolver a vulnerabilidade do Samba e proteger seus servidores Linux e Unix.
A solução alternativa é direta, exigindo a adição do seguinte parâmetro à seção [global] do seu smb.conf

Nt pipe support = no

Após o parâmetro ter sido adicionado, o daemon smbd deve ser reiniciado.

O US-CERT recomendou a todas as organizações que apliquem o patch ou use a solução o mais rápido possível para evitar que a vulnerabilidade seja explorada.

Se um hacker explorasse a falha do Samba, isso lhes permitiria "carregar uma biblioteca compartilhada para um compartilhamento gravável e, em seguida, fazer com que o servidor o carregue e execute-o". Um arquivo malicioso pode ser carregado remotamente em qualquer dispositivo vulnerável. Isso pode ser ransomware, um worm de rede ou qualquer outro arquivo malicioso. Esse arquivo poderia então ser executado com privilégios de acesso raiz.

Os dispositivos NAS que usam o Samba também podem ser vulneráveis ​​a ataques. Hackers podem direcionar dispositivos NAS e acessar ou criptografar dados armazenados. Muitas organizações usam dispositivos NAS para armazenar backups. Um ataque a esses dispositivos, usando o ransomware, por exemplo, seria devastador.

Um recurso de prova de conceito para a vulnerabilidade do Samba está disponível para o público. É, portanto, apenas uma questão de tempo antes da vulnerabilidade ser explorada. O patch ou a solução alternativa deve, portanto, ser aplicado o mais rápido possível para mitigar o risco.

Um ponto importante a ser ressaltado é que para o ataque ocorrer com sucesso é necessário:

  • smbd deve estar rodando em uma porta que seja acessível ao atacante (por padrão é o tcp 445);
  • o "nt pipe support" deve estar configurado e habilitado (ele vem habilitado por padrão) no arquivo smb.conf;
  • O atacante deve ter acesso a área compartilhada que pode ser gravada.

Mais informações sobre o assunto:

Esse texto foi compartilhado pela e-Guardian.

Proofpoint no Brasil é distribuida pela e-Guardian. Trata-se de uma empresa focada em segurança da informação e possui suporte, consultoria e manutenção especializado em Proofpoint. A equipe possui mais de 10 anos de atuação na Proofpoint. A Proofpoint é uma referência em tecnologia de Antispam e esta adequado para atender ao mais completo dos requisitos de segurança para email e web security.
contato@e-guardian.com.br

About the author: Roberto Chu

Leave a Reply

Your email address will not be published.