Am Dienstag, den 12. April 2016 haben Microsoft und das Samba-Team gegen 19 Uhr Informationen und Patches zur Badlock genannten Sicherheitslücke veröffentlicht, die Man-In-The-Middle-Angriffe auf das SAM- und LSAD-Protokolle ermöglicht. Sicherheitsupdates sollten umgehend eingespielt werden.

Inhalt

1. Zusammenfassung
2. Beschreibung
3. Gegenmaßnahmen
4. Weitere Informationen

1. Zusammenfassung

• Einstufung: hoch (7.1)
• Betroffen: Samba und Microsoft Windows
• CVE-Nummern: CVE-2016-2118, CVE-2016-0128

Die Zusammenfassung orientiert sich am Common Vulnerability Scoring System (CVSS). Wenn verfügbar, sind zudem die entsprechenden Nummern gemäß Common Vulnerabilities and Exposures (CVE) angegeben.

2. Beschreibung

Microsoft und das Team von Samba haben am Dienstag, den 12. April 2016 gegen 19 Uhr Informationen zur Badlock getauften Sicherheitslücke veröffentlicht. Diese ermöglicht einen Man-in-the-Middle-Angriff (MITM) auf das SAM- (Security Account Manager Protocol) und LSAD-Remoteprotokoll (Local Security Authority Domain Policy). Betroffen sind unter anderem:

• Samba 3.6.x (kein Patch verfügbar)
• Samba 4.0.x (kein Patch verfügbar)
• Samba 4.1.x (kein Patch verfügbar)
• Samba 4.2.0-4.2.9 (Patch verfügbar mit Version 4.2.10/4.2.11)
• Samba 4.3.0-4.3.6 (Patch verfügbar mit Version 4.3.7/4.3.8)
• Samba 4.4.0 (Patch verfügbar mit Version 4.4.1/4.4.2)

• Debian 7 und 8 (Patch verfügbar)
• Ubuntu LTS 12.04 und LTS 14.04 (Patch verfügbar)
• Red Hat Enterprise Linux 5, 6 und 7 (Patch verfügbar)
• Red Hat Gluster Storage 3 EL6/EL7 (Patch verfügbar)
• CentOS 5, 6 und 7 (Patch verfügbar)
• SUSE Linux Enterprise Server 11 und 12 (Patch verfügbar)
• Microsoft Windows Vista (Patch verfügbar)
• Microsoft Windows 7 (Patch verfügbar)
• Microsoft Windows 8.1 und RT 8.1 (Patch verfügbar)
• Microsoft Windows 10 (Patch verfügbar)
• Microsoft Windows Server 2008 und 2008 R2 (Patch verfügbar)
• Microsoft Windows Server 2012 und 2012 R2 (Patch verfügbar)

Sowohl das SAM-, als auch das LSAD-Remoteprotokoll basieren auf Distributed Computing Environment / Remote Procedure Calls (DCERPC) und werden dazu verwendet, die Security-Account-Manager-Datenbank über das Netzwerk zu administrieren. Ein Angreifer, der sich im selben Netz wie der Administrator befindet, kann das Authentifizierungslevel des RPC-Kanals herunterhandeln (bis CONNECT), die Verbindung anschließend übernehmen und erhält somit Zugriff auf die SAM-Datenbank inklusive Passwörtern und ggf. weiteren sensiblen Informationen.

3. Gegenmaßnahmen

Administratoren betroffener Systeme sind angehalten, umgehend die entsprechenden Patches einzuspielen, die neben Badlock auch alle weiteren dazu in Beziehung stehenden und bislang bekannten Schwachstellen beseitigen:

• Sicherheitsupdate auf Samba 4.2.11
• Sicherheitsupdate auf Samba 4.3.8
• Sicherheitsupdate auf Samba 4.4.2

4. Weitere Informationen

Das Zeitfenster der Veröffentlichung wurde zwischen dem Samba-Team und Microsoft abgestimmt und ist daher mit dem dienstäglichen Patchday zusammengefallen. Weitere Informationen finden Sie hier:

• http://badlock.org/
• https://www.samba.org/samba/latest_news.html#4.4.2
• https://access.redhat.com/security/vulnerabilities/badlock
• https://technet.microsoft.com/de-de/library/security/ms16-047
• https://www.riskbasedsecurity.com/2016/03/bad-luck-over-the-upcoming-badlock-vulnerability/

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/