Badlock

Badlock (CVE-2016-2118 и CVE-2016-0128) — ошибка в протоколе SMB/CIFS. Краткая информация об уязвимости была опубликована 24 марта 2016 года^[1], подробная информация и исправления — 12 апреля. Ошибка была обнаружена как в свободной реализации протокола (Samba 3.6-4.4^[2]), так и в Windows (CVE-2016-0128, MS16-047)^[3]. Также присутствует в ряде решений, основанных на Samba^[4]^[5].

Атака реализуется посредником (MITM), который используя DCERPC запросы снижает версию протокола MS-SAMR/MS-LSAD и переключает работу на слабозащищенный вариант авторизации^[6]. Была обнаружена полная незащищенность протоколов DCERPC^[7].

История

Уязвимость Badlock нашел^[8] сотрудник компании SerNet и член команды Samba Core Team Стефан Метцмахер (Stefan Metzmacher) в июле 2015 года. 31 июля 2015 об ошибке сообщили в Microsoft, в сентябре проведена встреча, затем был согласован срок раскрытия информации^[9].

24 марта была опубликована краткая информация об ошибке^[9].

Разработка исправлений велась на протяжении нескольких месяцев, потребовалось внести более 200 патчей в проект Samba^[10].

Публичное раскрытие информации произведено 12 апреля 2016 года^[10]. В тот же день вышли исправленные версии программ и обновления для Windows. Проект Samba выпустил исправленные версии 4.4.2, 4.3.8 и 4.2.11; исправления для более ранних версий — с 3.6 до 4.1 включительно — проектом не выпускались по причине окончания срока поддержки^[11]. Исправления для ряда более ранних версий подготовили дистрибьюторы ОС с длительными сроками поддержки, инженеры SUSE, RedHat и SerNet исправили версии 3.6, 3.4, 4.0^[10].

Microsoft выпустила обновление 3148527 и другие в рамках MS16-047 для операционных систем с Windows Vista до Windows 10 включительно, Server 2008, 2012 а также Core^[3].

Уязвимость получила оценку по шкале CVSS в 7.1/6.4 баллов из 10^[11].

Широкая маркетинговая кампания уязвимости подверглась критике, первоначальные сообщения не исключали удаленного исполнения кода, но некоторые СМИ сочли, что на самом деле ошибка лишь позволяет атаку посредника против сервисов общих файлов и печати. Запоминающееся название, отдельный сайт, внимание СМИ, красивые картинки по отдельным мнениям отвлекают внимание пользователей и администраторов от по-настоящему опасных уязвимостей, в том числе исправленных одновременно с badlock, как в продуктах Microsoft, так и в Adobe Flash^[12]^[13].

Примечания

↑ Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba Архивная копия от 23 апреля 2016 на Wayback Machine / Xakep, 2016-03-24
↑ SAMR and LSA man in the middle attacks possible (англ.). SAMBA. Дата обращения: 23 октября 2016. Архивировано 22 мая 2016 года.
↑ ¹ ² Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 10 ноября 2016 года.
↑ IBM Security Bulletin: Badlock Samba vulnerability issue on IBM Storwize V7000 Unified (CVE-2016-2118) - United States (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ Support | Novell products and Badlock Samba vulnerability (CVE-2016-2118) (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ Peter Siering (2016-04-15). "Badlock – Why the Windows and Samba Vulnerability is Important" (англ.). heise.de. Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.
↑ Stefan Metzmacher. Improving DCERPC Security (англ.). SNIA SDC (20 сентября 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ SerNet (неопр.). Дата обращения: 13 апреля 2016. Архивировано из оригинала 8 мая 2016 года.
↑ ¹ ² Stefan Metzmacher. Badlock. One Year In Security Hell (англ.). SambaXP (11 мая 2016). Дата обращения: 23 октября 2016. Архивировано из оригинала 23 октября 2016 года.
↑ ¹ ² ³ Alexander Bokovoy. How Badlock Was Discovered and Fixed (англ.). RED HAT ENTERPRISE LINUX BLOG (15 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.
↑ ¹ ² Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016). Дата обращения: 13 апреля 2016. Архивировано 22 апреля 2016 года.
↑ Fahmida Y. Rashid (Apr 13, 2016). "Don't let Badlock distract you from real vulnerabilities" (англ.). Infoworld (IDG). Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.
↑ Badlock revealed – probably not as bad as you thought – Naked Security (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

Ссылки

Badlock Bug (англ.).
CVE-2016-2118 a.k.a BADLOCK. SAMR and LSA man in the middle attacks possible (англ.). SAMBA.
Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016.
CVE-2016-2118 / NVD (англ.)
Security Week 12 (неопр.). Хабрахабр, блог компании «Лаборатория Касперского» (25 марта 2016).
Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016).
Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba / Xakep, 2016-03-24
Chris Williams, Bug hype haters gonna hate hate hate: Badlock flaw more like Sadlock. Windows, Samba vulnerability needs patching — but don’t panic / The Register, 12 Apr 2016

[1] Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba Архивная копия от 23 апреля 2016 на Wayback Machine / Xakep, 2016-03-24

[2] SAMR and LSA man in the middle attacks possible (англ.). SAMBA. Дата обращения: 23 октября 2016. Архивировано 22 мая 2016 года.

[ms16-047-3] ¹ ² Microsoft Security Bulletin MS16-047 - Important. Security Update for SAM and LSAD Remote Protocols (3148527) (англ.). Microsoft Technet (12 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 10 ноября 2016 года.

[4] IBM Security Bulletin: Badlock Samba vulnerability issue on IBM Storwize V7000 Unified (CVE-2016-2118) - United States (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[5] Support | Novell products and Badlock Samba vulnerability (CVE-2016-2118) (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[6] Peter Siering (2016-04-15). "Badlock – Why the Windows and Samba Vulnerability is Important" (англ.). heise.de. Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.

[7] Stefan Metzmacher. Improving DCERPC Security (англ.). SNIA SDC (20 сентября 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[8] SerNet (неопр.). Дата обращения: 13 апреля 2016. Архивировано из оригинала 8 мая 2016 года.

[autogenerated1-9] ¹ ² Stefan Metzmacher. Badlock. One Year In Security Hell (англ.). SambaXP (11 мая 2016). Дата обращения: 23 октября 2016. Архивировано из оригинала 23 октября 2016 года.

[rh-CVE-2016-2118-badlock-how-10] ¹ ² ³ Alexander Bokovoy. How Badlock Was Discovered and Fixed (англ.). RED HAT ENTERPRISE LINUX BLOG (15 апреля 2016). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[autogenerated2-11] ¹ ² Раскрыты детали уязвимости Badlock в Samba (рус.). Opennet (12 апреля 2016). Дата обращения: 13 апреля 2016. Архивировано 22 апреля 2016 года.

[12] Fahmida Y. Rashid (Apr 13, 2016). "Don't let Badlock distract you from real vulnerabilities" (англ.). Infoworld (IDG). Архивировано 23 октября 2016. Дата обращения: 23 октября 2016.

[13] Badlock revealed – probably not as bad as you thought – Naked Security (неопр.). Дата обращения: 23 октября 2016. Архивировано 23 октября 2016 года.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е