Es scheint eine bekannte Schwachstelle in Samba zu geben, die ausgenutzt werden kann überrpcclientMan kann verwendenrpcclientum auf einen Samba-Server zuzugreifen und dann mit Befehlen wiesrvinfo,Aufzählungsprivs,NachschlagenamenUndSuchseitenkönnen für einen Hacker wertvolle Informationen (Betriebssystem- und Plattforminformationen, Benutzernamen und IDs usw.) abgerufen werden. Mit diesen Informationen können Passwörter mit einem Tool wie kompromittiert werden:Hydra.
Eine Google-Suche zeigt mir mehrere Erklärungen für diesen Exploit (wie zum Beispiel:Plündern von Windows-Kontoinformationen über authentifizierte SMB-SitzungenUndAufzählen von Benutzerkonten unter Linux und OS X mit rpcclient), aber ich kann nirgends eine Diskussion darüber finden, wie man sich davor schützen kann.
Ich habe versucht, anzugeben
idmap config * : backend = tdb
Insmb.conf, und setzt den TDB auf Null, aber das hindert einen Benutzer nicht daran, Betriebssystem, Root-Benutzer usw. zu erkennen.
Gibt es eine bekannte Möglichkeit, sich gegen diesen Exploit zu wappnen? Meine Samba-Server sind Ubuntu (verschiedene Versionen) und wir verwenden Samba 3.6.3.
Antwort1
Die normale Funktion des RPC stellt nur dann ein Risiko dar, wenn Ihre Server anonyme Sitzungen zulassen (mit Benutzername ''" und Passwort ''"). In diesem Szenario kann jeder mithilfe der Befehle von rpclient die wertvollen Informationen abrufen, die Sie zuvor erwähnt haben. Vermeiden Sie also, dass Ihre Server Nullsitzungen zulassen, und das war's!