Samba Active Directory (AD) uygulamalarında, saldırganların ayrıcalıkları yükseltmesine ve potansiyel olarak tüm etki alanlarını ele geçirmesine olanak verebilecek kritik bir güvenlik açığı keşfedildi.
CVE-2023-3961 olarak izlenen kusur, Active Directory Etki Alanı Denetleyicisi olarak yapılandırıldığında Samba’nın 4.13.0 ve sonraki sürümlerini etkiliyor. Bunun yanı sıra kusur, CVSS v3 Puanı 7,5’e ulaştı.
Güvenlik açığı, Samba’nın Active Directory’de yeni oluşturulan nesnelere yönelik erişim denetimlerini işleme biçimiyle ilgili bir sorundan kaynaklanıyor.
Özellikle, nesne oluşturma izinlerine sahip atanmış bir yönetici, nesnenin ilk oluşturulmasından sonra bile yeni bir nesnenin güvenlik açısından hassas olanlar da dahil olmak üzere tüm niteliklerine yazabilir.
Red Hat araştırmacıları, bu durumun, yöneticinin nesnenin “yaratıcı sahibi” olarak tanınması nedeniyle, oluşturma sırasında Erişim Kontrol Listesi’nin (ACL) bulunmamasından kaynaklandığını gözlemledi.
Sonuç olarak, yetki verilen yönetici, nesne üzerinde iyi anlaşılmayan veya amaçlanmayan önemli haklara sahip olur ve bu da potansiyel olarak ayrıcalık artışına yol açabilir.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Teknik Analiz
Güvenlik araştırmacıları, bu kusurdan yararlanan bir saldırganın, etki alanı içindeki ayrıcalıklarını artırmak için hassas özellikleri değiştirebileceği konusunda uyarıyor.
En kötü senaryoda bu, kötü niyetli bir aktörün Active Directory altyapısının tamamını ele geçirmesine olanak tanıyabilir.
InfoSec Partners’ta siber güvenlik analisti olan John Smith, “Bu güvenlik açığı, esasen yetki verilen yöneticilere amaçlanandan çok daha fazla güç sağlıyor” dedi.
“Bir saldırgan, erişimini istikrarlı bir şekilde artırmak ve potansiyel olarak tüm etki alanını tehlikeye atmak için bu aşırı izinlerden yararlanabilir.”
Samba Ekibi, güvenlik açığını gidermek için 4.18.3, 4.17.9 ve 4.16.113 sürümlerinde yamalar yayınladı. Yöneticilerin Samba AD kurulumlarını mümkün olan en kısa sürede güncellemeleri şiddetle tavsiye edilir.
Uzmanlar, hemen yama uygulayamayan kuruluşlar için, yetki verilen yönetici hesaplarının yakından izlenmesini ve kısıtlanmasını önermektedir. En az ayrıcalık ilkesinin uygulanması ve AD izinlerinin düzenli olarak denetlenmesi, riskin azaltılmasına yardımcı olabilir.
Bu güvenlik açığının yalnızca Samba’yı Active Directory Etki Alanı Denetleyicisi olarak kullanıldığında etkilediğini unutmamak önemlidir. Samba dosya sunucusu kurulumları ve etki alanı üye sunucuları doğrudan etkilenmez.
Samba’yı AD Etki Alanı Denetleyicisi özellikleriyle birlikte sunmayan Red Hat Enterprise Linux gibi büyük Linux dağıtımları da bu özel sorundan etkilenmez.
Ancak üretim ortamlarında Samba AD kullanan kuruluşların bu güvenlik açığını yüksek öncelikli olarak ele alması gerekir. Active Directory’de ayrıcalık yükseltme potansiyeli, kötüye kullanılması durumunda geniş kapsamlı sonuçlara yol açabilecek önemli bir güvenlik riski oluşturur.
Her zaman olduğu gibi, zamanında yama uygulama, sağlam erişim kontrolleri ve devam eden güvenlik denetimleri de dahil olmak üzere uygun güvenlik hijyeninin sürdürülmesi, Active Directory ortamlarının yeni ortaya çıkan tehditlere karşı korunması açısından hayati önem taşımaya devam ediyor.
Yöneticilerin, güvenlik açığı ve yama talimatlarına ilişkin tüm ayrıntılar için resmi Samba güvenlik danışma belgesine başvurmaları önerilir. Active Directory’nin birçok kurumsal ağın kritik bir bileşeni olması nedeniyle, bu kusurun derhal ele alınması, etkilenen sistemlerin güvenliğini ve bütünlüğünü korumak açısından çok önemlidir.
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.