Depois do ataque WannaCry, que terá afetado mais de 300 mil computadores em todo o mundo, investigadores de cibersegurança anunciaram na quarta-feira, 24 de Maio de 2017, a descoberta de mais uma vulnerabilidade, num software de uso gratuito, que poderá afetar mais de 100 mil aparelhos em todo o Mundo. Segundo Rebekah Brown, da empresa de cibersegurança Rapid7, ainda não há sinais de ataques com recurso à vulnerabilidade descoberta, embora seja “muito, muito fácil explorar” o “buraco” no software Samba. A responsável revelou que contabilizaram mais de 100 mil computadores com versões vulneráveis do referido software gratuito, mas que é provável que haja “muitos mais”. Alguns poderão pertencer a organizações e empresas, mas a maioria serão computadores domésticos.
A maioria dos computadores está a correr versões antigas do software que não podem ser emendadas
Acrescentou a investigadora. A vulnerabilidade encontrada pode ser utilizada para criar um “worm” semelhante ao que permitiu que o WannaCry se espalhasse tão depressa. Os investigadores da Rapid7 demoraram apenas 15 minutos para desenvolver um programa malicioso que tira proveito da referida vulnerabilidade.
O que ocorre na verdade.
Essa falha não é de agora ela já tem algum tempo, na verdade a 7 anos, ela permite a execução remota de um código malicioso que afeta todas as versões do software Samba à partir da versão 3.5.0, que foi lançada em março de 2010. Isso inclui também as versões atuais 4.4.x, 4.5.x e 4.6.x.
Para ser explorada remotamente, o servidor precisa estar com a porta 445 disponível para internet com permissão de gravação nos diretórios. Pesquisas identificaram mais de 485.000 computadores com o serviço disponível na internet. Ainda que a vulnerabilidade não possa ser comparada com a falha de SMB explorada pelo WannaCry, os riscos existem, e existem outros cenários de ataque potenciais que não exigem que o compartilhamento seja exposto na Internet. Uma mensagem de spam malicioso que comprometeu com êxito um único computador em uma rede corporativa, por exemplo, poderia usar a falha do Samba para se espalhar de forma viral para outros computadores. Dada a facilidade de explorar a vulnerabilidade, ela poderia rapidamente infectar um grande número de computadores. Pesquisadores disseram que a vulnerabilidade também poderia abrir redes domésticas com dispositivos de armazenamento conectados à rede para ataques.
No ultimo dia 24 de maio de 2017 a equipe do Samba.org disponibilizou um patch de correção para a vulnerabilidade que foi publicada na CVE-2017-7494(Commom Vulnerabilities and Exposures) explicando o porque ocorre essa falha, onde ocorre e como se proteger.
==================================================================== == Subject: Remote code execution from a writable share. == == CVE ID#: CVE-2017-7494 == == Versions: All versions of Samba from 3.5.0 onwards. == == Summary: Malicious clients can upload and cause the smbd server == to execute a shared library from a writable share. == ==================================================================== =========== Description =========== All versions of Samba from 3.5.0 onwards are vulnerable to a remote code execution vulnerability, allowing a malicious client to upload a shared library to a writable share, and then cause the server to load and execute it. ================== Patch Availability ================== A patch addressing this defect has been posted to http://www.samba.org/samba/security/ Additionally, Samba 4.6.4, 4.5.10 and 4.4.14 have been issued as security releases to correct the defect. Patches against older Samba versions are available at http://samba.org/samba/patches/. Samba vendors and administrators running affected versions are advised to upgrade or apply the patch as soon as possible. ========== Workaround ========== Add the parameter: nt pipe support = no to the [global] section of your smb.conf and restart smbd. This prevents clients from accessing any named pipe endpoints. Note this can disable some expected functionality for Windows clients. ======= Credits ======= This problem was found by steelo <knownsteelo@gmail.com>. Volker Lendecke of SerNet and the Samba Team provided the fix.
A equipe de mantenedores do Samba já corrigiram o problema em suas novas versões 4.6.4 / 4.5.10 / 4.4.14 e recomendam que o patch seja aplicado o mais rapidamente possível.
As organizações que usam o software Samba devem verificar se é possível aplicar o quanto antes a correção em seus sistemas operacionais ou dispositivos que usam o Samba, como storages por exemplo. Aqueles que não conseguem corrigir imediatamente, podem contornar a vulnerabilidade adicionando a linha no arquivo smb.conf:
nt pipe support = no
Uma vez adicionado, reinicie o daemon SMB da rede (smbd) e pronto. Importante: essa alteração impedirá que os clientes acessem totalmente algumas máquinas de rede, bem como desativar algumas funções esperadas para sistemas Windows conectados.
O Samba é um “software servidor” para Linux que permite o compartilhamento de recursos em redes formadas por computadores, incluindo o sistema operacional Windows. Dessa forma é possível usar o Linux como servidor de arquivos, servidor de impressão, entre outros, como se a rede utilizasse servidores Windows. É amplamente usado em redes corporativas, principalmente em órgãos públicos no Brasil.
Fontes consultadas: ARS Techinica / Samba.org