Mit dem heutigen Patch-Day hat Microsoft im Windows-Server eine Lücke geschlossen, die auch in Samba klafft und die von den Entwicklern der freien Server-Alternative entdeckt worden ist. Sie betrifft nicht das SMB-Protokoll, sondern RPC-Dienste.
Stefan Metzmacher, ein Mitglied des Samba-Teams, hatte zunächst an der Samba-eigenen Implementierung für Remote Procedure Calls (RPCs) entdeckt, dass sie fahrlässigerweise ungesicherte Verbindungen akzeptiert. Auch aktuelle Windows-Server lassen sich auf diese Weise überrumpeln. Soweit bekannt, kommen ungesicherte RPC-Aufrufe in freier Wildbahn zwar bei sicherheitskritischen Diensten nicht vor, können aber unter bestimmten Umständen durch einen Man-in-the-Middle provoziert werden.
Samba- und Windows-Server exponieren über RPC unter anderem Schnittstellen, um Benutzerkonten über das Netzwerk zu verwalten. Um die Badlock getaufte RPC-Lücke ausnutzen zu können, muss ein Angreifer im lokalen Netz einen Administrator belauschen. Die dabei ergatterten Daten ermöglichen dann administrativen Zugriff auf das Herzstück eines Windows-Netzes, nämlich die Domänen-Benutzerdatenbank eines Active Directory (SAM).
Server-Betreiber sollten schnell handeln. Die Samba-Entwickler haben gleich einen Schwung von 8 CVEs veröffentlicht, die teils auch verwandte Probleme beheben. Badlock selbst ist CVE-2016-2118. Patches sind erschienen für Samba 4.4, 4.3 und 4.2. Microsoft korrigiert zum heutigen Patch-Day die Badlock-Lücke in allen noch unterstützten Windows-Varianten ab Vista, also auch in Server 2008 und Nachfolgern. Details zu den betroffenen Versionen stehen im Security Bulletin MS16-047.
Die Vorwarnung, die der Göttingen Samba-Dienstleister SerNet drei Wochen vor Veröffentlichung der Patches in die Welt gesetzt hatte, kam nicht überall gut an. Manch einer suchte im Code von Metzmacher, der Locking-Funktionen betraf, nach eventuellen Lücken. Der Name aber war nicht Programm: Der Fehler entsteht durch das überholte RPC-Design und steckt nicht im Server-Message-Block-Protokoll (SMB). Die Badlock-Web-Site liefert jetzt detaillierte Informationen. Hintergründe zur Entdeckung der Lücke bringt c’t in der kommenden Ausgabe 9/16, die Ende der Woche erscheint. (ps)