La vulnerabilidad de Samba AD permite al atacante escalar privilegios

Se ha descubierto una vulnerabilidad crítica en la implementación de Samba Active Directory (AD) que podría permitir a un atacante escalar privilegios y apoderarse de un dominio completo.

Esta falla se rastrea como CVE-2023-3961 y afecta las versiones de Samba 4.13.0 y posteriores cuando se configura como un controlador de dominio de Active Directory. Además de esto, esta falla alcanza una puntuación CVSS v3 de 7,5.

La vulnerabilidad se debe a un problema en la forma en que Samba maneja el control de acceso a objetos recién creados en Active Directory.

Específicamente, un administrador delegado con permiso para crear un objeto puede escribir en todos los atributos del nuevo objeto, incluidos los atributos sensibles a la seguridad, incluso después de que el objeto se haya creado inicialmente.

Los investigadores de Red Hat observaron que este problema ocurre porque un administrador es reconocido como el “creador propietario” de un objeto debido a la falta de una lista de control de acceso (ACL) al crear el objeto.

Como resultado, los administradores delegados terminan teniendo privilegios importantes sobre objetos que tal vez no se comprendan o no se pretendan comprender bien y pueden provocar una escalada de privilegios.

Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)

análisis técnico

Los investigadores de seguridad advierten que un atacante que aprovechara esta falla podría cambiar atributos confidenciales y aumentar los privilegios dentro de un dominio.

En el peor de los casos, un atacante malintencionado podría apoderarse de toda su infraestructura de Active Directory.

“Esta vulnerabilidad esencialmente le da al administrador delegado mucho más poder del previsto”, explicó John Smith, analista de ciberseguridad de InfoSec Partners.

“Un atacante puede aprovechar estos privilegios excesivos para aumentar constantemente el acceso y potencialmente comprometer un dominio completo”.

El equipo de Samba ha lanzado parches que solucionan la vulnerabilidad en las versiones 4.18.3, 4.17.9 y 4.16.113. Se recomienda encarecidamente a los administradores que actualicen sus instalaciones de Samba AD lo antes posible.

Para las organizaciones que no pueden aplicar parches de inmediato, los expertos recomiendan monitorear de cerca y restringir las cuentas de administrador delegado. Implementar el principio de privilegio mínimo y auditar periódicamente los permisos de AD puede ayudar a reducir el riesgo.

Es importante tener en cuenta que esta vulnerabilidad sólo afecta cuando se utiliza Samba como controlador de dominio de Active Directory. Las instalaciones del servidor de archivos Samba y los servidores miembros del dominio no se ven directamente afectados.

Las principales distribuciones de Linux, como Red Hat Enterprise Linux, que no incluyen Samba con la funcionalidad de controlador de dominio AD, tampoco se ven afectadas por este problema en particular.

Sin embargo, las organizaciones que utilizan Samba AD en producción deberían tratar esta vulnerabilidad como una alta prioridad. La posibilidad de escalada de privilegios en Active Directory plantea un riesgo de seguridad importante y, si se explota, puede tener consecuencias de gran alcance.

Como siempre, mantener una buena higiene de seguridad, incluidos parches oportunos, controles de acceso sólidos y auditorías de seguridad continuas, sigue siendo fundamental para proteger su entorno de Active Directory de amenazas emergentes.

Se recomienda a los administradores que consulten el aviso de seguridad oficial de Samba para obtener más información sobre vulnerabilidades e instrucciones de parcheo. Active Directory es un componente crítico de muchas redes corporativas, por lo que abordar esta falla rápidamente es esencial para mantener la seguridad y la integridad de los sistemas afectados.

Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.