(c) 1999 Vision Crew Stuttgart
Sicherheitsprobleme mit Samba
Betriebssystem
Windows NT, Windows 95/98
Software
Kernel
Angriffe
Denial-of-Service, falsche Logon-Bildschirme
Schutz
nur teilweise möglich
Stichworte
Denial-of-Service, Spionage, Ermittlung von Usernamen und Paßwörtern
Datum
17.03.1999
Mit der Software Samba kann ein Unix-Rechner in ein NT-Netz integriert werden. Da die von Microsoft implementierten Sicherheitsmechanismen lückenhaft sind, ergeben sich immer wieder Probleme.
Problem
Wird ein Unix-Server mit Samba 1.9.18p5 wie nachstehend konfiguriert (smb.conf), können sich ernste Probleme im NT-Netz ergeben:
security=server
password server=[hostname of PDC]
domain controller=[hostname of PDC]
domain logons=yes
Der Rechner wird in der Domäne zunächst als Windows NT 4.2 Server gemeldet, um sein Erscheinunsgbild nach einigen Stunden in das eines Backup-Domänencontrollers (BDC) zu ändern. Wird der Primary-Domänencontroller (PDC) nun gebootet, bricht der Vorgang mit der irreführenden Meldung ab, daß kein PDC im Netz vorhanden sei. Erst ein Herunterfahren des Samba-Rechners ermöglicht das Hochfahren des PDCs.
Ein weiteres Problem ergibt sich, wenn Windows 95/98-Clients im Netz vorhanden sind. Diese versuchen, sich am „falschen“ BDC anzumelden, was natürlich nicht geht. Es ist jedoch denkbar, mittels eines vom Samba-Server gesendeten getürkten Login-Bildschirms an die Accounts und die dazugehörigen Paßwörter zu gelangen.
Empfehlung
Das erste Problem soll mit der Version 2.0 von Samba gelöst werden, was vor böswilligen Attacken mit der Version 1.9.18p5 natürlich nicht schützt. Microsoft sieht sich nicht in der Lage, das Problem mit einem Hotfix anzugehen und verweist auf Windows 2000.
Für das Problem der sinnlosen Anmeldeversuche am Samba-Server hat Microsoft einige Tips herausgegeben, wie das Problem durch eine geschickte Konfiguration vermieden werden kann.
Information
http://www.ntbugtraq.com/page_archives_wa.asp?A1=ind9903&L=ntbugtraq http://support.microsoft.com/support/kb/articles/q192/0/64.asp http://support.microsoft.com/support/kb/articles/q150/8/00.asp