Zerologon también afecta a versiones de Samba

Si anteayer empezábamos la semana urgiendo a actualizar Windows Server para protegerse de Zerologon, hoy sabemos que este problema de seguridad también afecta a determinadas versiones de Samba, el más que popular protocolo de compartición de archivos y que, aunque esta función no es tan conocida y empleada, también puede actuar como controlador principal de dominio, como miembro del mismo y, para estructuras de red basadas en Windows, incluso como dominio de Active Directory, prestando el servicio de directorio a la red o a un dominio específico de la misma.

Esto hace, claro, que Samba también pueda responsabilizarse de la autenticación de usuarios y para tal fin emplea… sí, seguro que lo has adivinado: Netlogon, precisamente el epicentro de Zerologon, debido como ya te contamos a varios problemas en la implementación de las funciones de cifrado. Un problema que permite que, rellenando ciertos campos del mensaje de login con ceros (de ahí su nombre) sea posible iniciar sesión como administrador del dominio.

Si en el caso de Windows Server Zerologon afecta al rango comprendido entre Windows Server 2008 y Windows Server 2019 May 2020 Update (2004), las versiones de Samba afectadas por Zerologon son las comprendidas entre la 4.0 y la 4.7, ambas inclusive. Es importante, eso sí, aclarar que este problema de seguridad no afecta a las instalaciones de Samba empleadas solo para compartir archivos, las que se ven afectadas son aquellas en las que se emplea para gestionar los accesos al dominio.

El problema de Zerologon se reproduzca en Samba es, en realidad, algo que era predecible desde el primer momento, puesto que para sus funciones de gestión de dominio se apoya también en Netlogon, heredando todas sus propiedades. Y esto es importante, puesto que actúa como recordatorio de que cualquier otro desarrollo que emplee Netlogon para autenticar a los usuarios tiene exactamente el mismo problema y, por lo tanto, urge su actualización.

Debido en una modificación en la configuración estándar de Samba, que se efectuó en la versión 4.8 (lanzada en marzo de 2018), esta versión y las posteriores ya no se ven afectadas por Zerologin. No obstante, esto se refiere a la configuración por defecto de Samba, si en 4.8 o superiores se han efectuado cambios en el archivo smb.conf correspondiente a la configuración del controlador de dominio, es imprescindible revisar los mismos para comprobar si se ha modificado el valor del parámetro server schannel.

Concretamente, desde la versión 4.0 hasta la versión 4.7 de Samba, por defecto el valor de ese parámetro de configuración es NO, mientras que a partir de la 4.8 pasó a ser YES. Así que sí, efectivamente, modificando este parámetro de configuración para que su valor sea YES, ya estaremos evitando el riesgo de Zerologon. No obstante, será imprescindible comprobar qué incidencia tiene este cambio en la operativa de la red. Por lo tanto, lo más recomendable es realizar algunas pruebas antes de aplicar el cambio en el entorno de producción.

La entrada Zerologon también afecta a versiones de Samba es original de MuySeguridad. Seguridad informática.