Vulnerabilità dell’autenticazione NTLM

Mark Gamache ha pubblicato un dettagliato articolo in cui spiega come il furto di credenziali utilizzate per l’autenticazione NTLM sia più semplice di quanto si riteneva.

Fin’ora si credeva che l’unico modo per rubare la password di un utente tramite NTLM fosse un attacco MitM o il possesso di credenziali amministrative sul sistema vittima; entrambe le cose rendevano il furto delle credenziali un male minore, in quanto il sistema sarebbe stato già ampiamente compromesso.

Il protocollo di autenticazione NTLM prevede quattro protocolli diversi in ordine crescente di sicurezza: LM, NTLM, NTLM con session security e NTLMv2, l’ultimo dei quali è l’unico a non essere interessato da questa vulnerabilità.

Mark ha scoperto che attraverso Cloudcracker (o servizio analogo) è possibile eseguire un attacco a forza bruta per ottenere l’hash NTLM; se la vittima utilizza Windows XP è possibile scoprire la sua password nel giro di una notte.

Leggi tutto “Vulnerabilità dell’autenticazione NTLM”

Rilasciato Samba 4.0

logo-samba

E’ di ieri l’atteso annuncio del rilascio di Samba 4.0.

La nuova versione è talmente compatibile con active directory  da supportare tutte le versioni di MS Windows, compresa l’ultima rilasciata poche settimane fa.

Secondo le release notes dovrebbe essere possibile configurare il server come domain controller principale e gestire  group policy e roaming profiles.  

Sicuramente una soluzione interessante in realtà aziendali con budget ristretti, ma professionalità IT di buon livello.

 

 

 

Corretto un problema serio di Samba

La nota tecnica di Samba CVE-2012-1182 segnala un problema piuttosto serio del software che richiede attenzione immediata.

Le versione 3.x fino alla 3.6.3 inclusa presentano una vulnerabilità che consente ad un utente remoto di guadagnare i privilegi di root.

Sono state rilasciate le versioni 3.6.4, 3.5.14 e 3.4.16 che correggono il problema. Vista la serietà del problema sono state rilasciate anche delle patch per le versioni non piu supportate dalla 3.0.37 in avanti.

Se non è possibile patchare immediatamente la propria installazione di Samba è consigliabile limitare l’accesso tramite un firewall o utilizzando il parametro hosts allow, tenendo presente che il rimedio non risolve il problema. (via ISC SANS)

Samba nuovo per Debian vecchio

Oggi mi sono trovato nuovamente di fronte al problema di mettere dei client Windows 7 in un dominio con DC Samba. Il problema e` che occorre una versione recente di Samba (3.4.x o 3.5.x) e che spesso i server che ho presso i clienti hanno una versione vecchia di Debian, versione che quando e` possibile evito di aggiornare, seguendo la regola d’oro che dice “Quando va che tanto basta, non toccar che poi si guasta”.

Se serve Samba 3.4.x per Debian Lenny, e` disponibile nel repository dei backports, ma se si deve installare su vecchie Debian Etch o addirittura Sarge, tutto potrebbe essere molto ma molto rognoso.

Per fortuna mi e` venuto in aiuto un sito, http://enterprisesamba.org/, che mette a disposizione Samba (recente) bello pronto e pacchettizzato (a 32 e 64 bit) per diverse distribuzioni Linux, fra le quali Debian, e supporta versioni decisamente vecchie (ad oggi, Lenny, Etch e Sarge). Il sito manca purtroppo di chiarezza su quali siano esattamente le differenze fra le loro scelte di patch (o assenza di patch) e di parametri di compilazione fra la versione “Debian ufficiale” e la loro, pero` messo alle strette ho deciso di dare loro fiducia, e direi che l’installazione di Samba 3.4.x dal loro sito su una Debian Etch abbia avuto esito assolutamente positivo. Occorre solo fare un minimo di attenzione alle dipendenze quando si aggiorna (di fatto si sostiuisce) la versione Debian originale di Samba con questa.

Domani finiro` di mettere le macchine client nel dominio, e vedremo se mi pentiro` di aver detto che funziona con troppo anticipo e troppo entusiasmo. Se qualcuno volesse seguire le mie orme, vi ricordo che oltre alla versione giusta di Samba, occorre anche applicare una piccola patch ai client Win7, come scritto qui: http://wiki.samba.org/index.php/Windows7