BadLock漏洞技术跟踪与风险防护

绿盟科技持续关注国内安全走势,早在3月份的时候第一时间发布了BadLock威胁预警通告。4月12日,微软补丁日如期而至。在这次微软发布的补丁中,包含了BadLock漏洞,该漏洞可对windows系统和Samba服务一律全版本通杀,危害程度不可小觑。对此,绿盟科技针对BadLock漏洞进行了技术跟踪分析并提供相应的防护建议。

BadLock漏洞时间线跟踪

BadLock时间线跟踪

BadLock时间线跟踪

BadLock漏洞基本概念

什么是BadLock?

International Samba Core Team成员Stefan Metzmacher发现Microsoft Windows平台和Samba服务软件中存在的一个严重等级的安全漏洞,将其命名为BadLock。

什么是Samba?

Samba是一个实现SMB(Server Message Block,服务信息块)/CIFS(Common Internet File System,通用网络文件系统)网络文件共享协议的免费开源软件,可以运行在大多数的操作系统上,包括Windows,Unix,IBM System以及OpenVMS等。
Samba允许非Windows平台使用相同的网络协议与Windows产品进行通讯,实现网络资源共享。

BadLock漏洞影响危害

影响平台

  • Microsoft Windows(未应用MS16-047补丁)
  • Samba 3.6.x
  • Samba 4.0.x
  • Samba 4.1.x
  • Samba 4.2.0-4.2.9
  • Samba 4.2.0-4.3.6
  • Samba 4.4.0

影响级别

BadLock影响级别

BadLock影响级别

BadLock漏洞技术跟踪

漏洞细节

针对BadLock,可以参考如下:

  • Samba – CVE-2016-2118 (SAMR和LSA中间人攻击)
  • 微软 – CVE-2016-0128 / MS16-047 (Windows SAM和LSAD降级漏洞)

与BadLock相关联的CVE列表如下:

CVE列表

CVE列表

技术分析

BadLock主要指的是SAM(Security Account Manager)和LSAD(Local Security Authority Domain Policy)协议中存在的中间人攻击漏洞。

SAM和LSAD都是基于通用 DCE/RPC的用户层协议,被用于所有的windows系统和Samba服务器。在windows下SAM和LSAD协议提供了对本地账户存储管理、远程用户认证等功能。举个列子,当管理员远程登陆到windows机器中就会用到SAM和LSAD。

BadLock指出的安全漏洞可以导致攻击者非法获得远程机器的认证。当一个客户端发起对远程机器的连接并获取一个认证的连接时,无论用户选择何种应用协议、认证类型(比如Kerberos 或者 NTLMSSP)和认证等级(NONE, CONNECT, PKT_INTEGRITY, PKT_PRIVACY),攻击者可以在截获流量的情况下(中间人攻击)将其降级为无需加密的CONNECT认证等级,从而取代合法用户的连接。如果网络管理员远程访问域控服务器时的流量被截获,攻击者就可以获取域控服务器上的SAM数据的读写权限,从而窃取域控服务器上的用户密码哈希和其它敏感信息。

此外,与BadLock相关的漏洞CVE-2015-5370存在拒绝服务的风险。Samba在公告中指出由于DCE-RPC的客户端和服务端实现存在问题,可导致程序崩溃和高cpu利用率,从而导致拒绝服务。

攻击方式

1. 中间人攻击
攻击者可以通过中间人截获Samba多个协议通信过程中的上下文,并执行任意的网络会话。

例如:

  • Samba AD服务器:查看或修改AD数据库,包括用户密码HASH或者关闭服务。
  • 标准Samba服务器:修改用户对文件或者目录的访问权限。

2. 拒绝服务攻击
攻击者可以通过特有的远程访问导致Samba拒绝服务。

BadLock漏洞风险防护

修复方法

  1. 将Samba服务器升级到如下版本:
  • 4.2.10/4.2.11
  • 4.3.7/4.3.8
  • 4.4.1/4.4.2
  1. 应用MS16-047补丁,补丁路径:

https://technet.microsoft.com/library/security/MS16-047

解决方案

绿盟科技检测服务

1) 绿盟科技工程师前往客户现场检测。
2) 使用绿盟科技的远程安全评估系统对内网环境进行安全评估。

绿盟科技合约服务

1) 短期服务:绿盟科技工程师现场进行安全评估,确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
2) 中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发。
3) 长期服务:高级安全风险解决方案(威胁情报+攻击溯源+专业安全服务)。

绿盟科技极光自助扫描服务

1) 使用极光自助扫描服务的资产管理功能定期对网络设备、主机系统等进行漏洞检查;
2) 随时申请,随时试用,随时检查;
申请链接:
https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?pid=1&sid=0&cid=1

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: ttp://www.nsfocus.com

如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment