Samba a publié des mises à jour logicielles pour remédier à plusieurs vulnérabilités qui, si elles sont exploitées avec succès, pourraient permettre à un attaquant de prendre le contrôle des systèmes affectés.
Les failles de haute gravité, suivies comme CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 et CVE-2022-45141ont été corrigés dans les versions 4.17.4, 4.16.8 et 4.15.13 libéré le 15 décembre 2022.
Samba est une suite d’interopérabilité Windows open source pour les systèmes d’exploitation Linux, Unix et macOS qui offre des services de serveur de fichiers, d’impression et Active Directory.
Une brève description de chacune des faiblesses est ci-dessous –
- CVE-2022-38023 (score CVSS : 8,1) – Utilisation du type de cryptage faible RC4-HMAC Kerberos dans Canal sécurisé NetLogon
- CVE-2022-37966 (Score CVSS : 8,1) – Une vulnérabilité d’élévation des privilèges dans Windows Kerberos RC4-HMAC
- CVE-2022-37967 (Score CVSS : 7,2) – Une vulnérabilité d’élévation des privilèges dans Windows Kerberos
- CVE-2022-45141 (Score CVSS : 8,1) – Utilisation du cryptage RC4-HMAC lors de l’émission de tickets Kerberos dans le contrôleur de domaine Samba Active Directory (AD DC) en utilisant Heimdal
Il convient de noter que les deux CVE-2022-37966 et CVE-2022-37967qui permettent à un adversaire d’obtenir des privilèges d’administrateur, ont été divulgués pour la première fois par Microsoft dans le cadre de ses mises à jour du Patch Tuesday de novembre 2022.
« Un attaquant non authentifié pourrait mener une attaque qui pourrait exploiter les vulnérabilités du protocole cryptographique dans RFC 4757 (type de chiffrement Kerberos RC4-HMAC-MD5) et MS-PAC (spécification Privilege Attribute Certificate Data Structure) pour contourner les fonctions de sécurité dans un environnement Windows AD, » la société a déclaré CVE-2022-37966.
Les correctifs arrivent également comme l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) cette semaine publié 41 Avis de systèmes de contrôle industriel (ICS) concernant divers défauts affectant les produits Siemens et Prosys OPC.