通杀Windows的Badlock是啥？该如何修复？

Badlock Bug

2016年4月12日，Windows 和 Samba 中揭露出了一个非常关键的安全漏洞请更新你的系统。我们非常确定黑客很快就会利用这个漏洞进行攻击。

微软和 Samba 团队的工程师们在过去几个月里精诚合作一起修复这个 bug。

Q&A

Badlock 有 CVE 吗？

有。针对 Samba 的 Badlock 被 CVE－2016-2118 引用（可能的中间人攻击中的 SAMR 和 LSA），针对 Windows 的 Badlock 被 CVE－2016-0128/MS16-047（Windows SAM 和 LSAD 的降级漏洞）。

其他有关 Badlock 的 CVE。那些是：

CVE-2015-5370 (DCE-RPC 代码的多个错误) CVE-2016-2110 (使用 NTLMSSP 进行中间人攻击) CVE-2016-2111 (NETLOGON 欺骗漏洞) CVE-2016-2112 (LDAP 客户端和服务端没有强制完整性) CVE-2016-2113 (缺少 TLS 证书验证) CVE-2016-2114 ("server signing = mandatory" 不执行) CVE-2016-2115 (SMB IPC 流量没有完整性保护)

攻击者可以得到什么？

该安全漏洞可以分为中间人和拒绝服务攻击。

1. 中间人攻击（MITM）：

很多中间人攻击都可以被执行对抗各种使用Samba的协议。这会允许使用截获用户上下文的任意Samba网络调用被执行。

影响截获管理员通信的例子：

1）. Samba AD 服务器 － 查看或修改 AD 数据库中的秘密信息，包括用户密码哈希或者关机等关键服务等。

2）. 标准 Samba 服务器 － 修改文件或目录等访问权限。

2. 拒绝服务攻击（DoS）：

Samba服务很容易受到来自攻击者从远程网络连接到Samba服务器的Dos攻击。

谁被感染了？

Sanba受影响的版本是：

3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9, 4.3.0-4.3.6, 4.4.0

没有评估更早期的版本。

如何修复我的系统？

请立刻申请由 Samba团队和 SerNet 提供的企业版 SAMBA／SAMBA+ 补丁。

补丁版本（包括临时和最终发布的补丁）：

4.2.10 / 4.2.11, 4.3.7 / 4.3.8, 4.4.1 / 4.4.2.

使用3月22日发布的 Samba 4.4.0的4.1版本分支已经被标注为 DISCONTINUED 已停产。请注意，即使对于安全修复来说 Samba 4.1 及以下版本不在支持范围内。

Samba 团队和 SerNet 不再为 Samba 4.1 及以下版本 提供官方安全版本（对企业版SAMBA）。我们强烈建议用户升级到更新后的安全版本。

有些厂商可能会选择4.4.1，4.3.7和4.2.10版本的 Samba，并在这些版本中安装补丁，因为这次发布的规模很大并且复杂性很高。有些人可能只是在旧的版本中backport这些补丁。请联系您的 Samba 供应商获取详细信息。

修复之后有什么进一步更改建议？

对于中间人攻击的缓解：

可以被中间人攻击使用的网络协议包括DHCP侦听，ARP监测和802.1x。

如果网络环境兼容，我们建议管理员设置这些附加选项：

server signing = mandatory ntlm auth = no

如果没有 server signing = mandatory，中间人攻击中的攻击者仍然可能对我们的文件服务器和 classic/NT4-like/Samba3 域控制器进行攻击。

请注意，这些对文件服务器性能有非常严重的影响，所以你需要对性能和安全性对出选择。对于smb文件服务器来说，中间人攻击在几十年中已经众所周知了。

如果没有 ntlm auth = no，可能仍是不使用NTLMv2的客户端，而这些观察到的密码可能很容易被使用云计算资源或彩虹表被蛮力攻击。

对于拒绝服务（DoS）攻击的缓解：

在服务器上应用防火墙规则只允许从受信任的地址进行连接。

加密能抵御这些攻击吗？

在默认情况下，当文件被明文传输时，SMB协议只加密凭证和命令。在安全／隐私敏感的情况下，建议使用加密来保护所有通信。

Samba 在2008年的3.2版本中增加了加密功能，但仅限于 Samba 客户端。微软增加了SMB加密支持Windows 8和 Windows Sever 2012中的 SMB 3.0。然而，这两种类型的加密只在 SMB 协议和命令完成后保护通信，比如文件传输等通信。正是这种机制存在修复的漏洞。

Samba／SMB 加密是一种非常不错的方法，但是不能有效的防止漏洞被利用。网络层的机密，比如IPSec 需要才是提供全方位保护的好方法。

Badlock 有多糟糕？

根据通用安全评分系统（CVSS），Badlock的严重性：

CVSS:3.0/AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C Base: 7.1 (High); Temporal: 6.4 (Medium)

当前如何利用此漏洞？

因为我们已经有几个 PoC，所以它极有可能被利用（这几个 PoC 不会在之后发布）。

Badlock 代表什么？

“Badlock” 本来是一个通用名次，没有任何特殊内涵。

但是这个 Bug 为什么有特殊表达方式？

被标记的 bug 可以用一个词非常好的形容：广泛性即被大众所认识。而且，bug 的名字可以作为独特的标识符，跟CVE／MS bug 作区分。

大家应该认真对待严重的漏洞。这个过程不是从标志它开始的，它开始于一段时间以前，当时每个人都在尽全力修复它。这个公告的主要主要目的是在安全修复发布之前通知用户。这是 Samba 安全发布过程的一部分。

谁发现了 Backlock 漏洞？

Badlock 被 Stefan Metzmacher 发现。他是国际 Samba 核心团队中的一员，他在 Samba 的SerNet工作。他向微软报告了这个 bug，并与微软密切合作共同修复这个 bug。

原文：http://badlock.org， FB小编FireFrank编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）