piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Badlock (CVE-2016-2118/CVE-2016-0128)についてまとめてみた

2016年4月13日、Samba、およびMicrosoftより、Badlockと呼称されたCVE-2016-2118/CVE-2016-0128を含む複数の脆弱性情報、並びに修正版が公開されました。ここでは関連情報をまとめます。

脆弱性概要

対象 Samba Microsoft
CVE CVE-2016-2118 CVE-2016-0128
影響 MITM/DoS PoE
重要度 重要
PoC 公開なし 公開なし
CVSS(v3) 7.1(Base)、6.4(Temp)
(Badlock.org評価)
発見者 Stefan Metzmacher氏 Stefan Metzmacher氏
脆弱性の説明

What can attackers gain?
The security vulnerabilities can be mostly categorised as man-in-the-middle or denial of service attacks.

http://badlock.org/

A man in the middle can intercept any DCERPC traffic between a client and a server in order to impersonate the client and get the same privileges as the authenticated user account.
This is most problematic against active directory domain controllers.

https://www.samba.org/samba/security/CVE-2016-2118.html

セキュリティ アカウント マネージャー (SAM) およびローカル セキュリティ機関 (ドメイン ポリシー) (LSAD) リモート プロトコルには、これらのプロトコルを適切に保護しない認証レベルを受け入れる場合、特権の昇格の脆弱性が存在します。この脆弱性は、SAM および LSAD リモート プロトコルがリモート プロシージャ コール (RPC) チャネルを確立する方法が原因で起こります。この脆弱性を悪用した攻撃者は、SAM データベースにアクセスできるようになる可能性があります。

https://technet.microsoft.com/library/security/MS16-047

その他Badlockに関連する脆弱性は次の通り。

CVE 概要
CVE-2015-5370 Multiple errors in DCE-RPC code
CVE-2016-2110 Man in the middle attacks possible with NTLMSSP
CVE-2016-2111 NETLOGON Spoofing Vulnerability
CVE-2016-2112 LDAP client and server don't enforce integrity
CVE-2016-2113 Missing TLS certificate validation
CVE-2016-2114 "server signing = mandatory" not enforced
CVE-2016-2115 SMB IPC traffic is not integrity protected

Badlockはロゴあり。

タイムライン
日時 出来事
3月23日 Badlockに関する事前アナウンス。
4月13日 Badlockの脆弱性情報、修正版が公開。

影響範囲

影響を受けるバージョンは次の通り。

Samba
  • Samba 3.6.0 〜 4.4.0

対策

Samba

Sambaを次のバージョンに更新する。

  • 4.2.10 または 4.2.11
  • 4.3.7 または 4.3.8
  • 4.4.1 または 4.4.2

前者のバージョンは非公開でリリースされたベンダ向けバージョン。

Microsoft

MS16-047で公開されたセキュリティ更新プログラムを適用する。

Sambaの緩和策/回避策

最新バージョンに更新できない場合は、次の回避策の適用を検討する。

中間者攻撃への対策
  • DHCPスヌーピングやARP Inspection、802.1X等の中間者攻撃への対策を講じる。

サーバーへの影響度を評価した上で次のオプション追加を検討する。特に「signing = mandatory」の設定はファイルサーバーの性能に大きな影響あり。

server signing = mandatory
ntlm auth = no

DoS攻撃への対策
  • Firewallを用いて信用されたアドレスのみに接続を制限する。
Microsoft

緩和策、回避策ともにMicrosoftは確認していない。