Menü

Badlock-Details: Samba-Entwickler im Gespräch mit c't

Am vergangenen Patchday haben Microsoft und das Samba-Team in einer konzertierten Aktion Fixes für eine Sicherheitslücke veröffentlicht, die Badlock getauft wurde. c't hatte Gelegenheit, mit Mitgliedern des Samba-Teams über die Details zu sprechen.

vorlesen Drucken Kommentare lesen 9 Beiträge

Badlock ist eine Lücke, die sowohl in Samba als auch in Windows steckt. Drei Wochen vor Erscheinen von Patches hatte die SerNet GmbH Admins von Windows- und Samba-Servern gewarnt, dass sie sich am 12. April auf das Installieren von Patches vorbereiten sollen. Die Warnung kam nicht von ungefähr: Die Lücke hatte Stefan Metzmacher, ein Mitarbeiter des Göttinger IT-Dienstleiters, entdeckt.

Kandidat für einen Oscar der Security-Szene?

(Bild: https://sadlock.org)

Badlock erlaubt die Manipulation der Daten in einem Active Directory, dem Herzstück heutiger Windows-Netze. Dafür, das Sicherheitsproblem medial deutlich sichtbar mit einer eigenen Website inszeniert zu haben, hat SerNet Prügel kassiert. Ein eigener Name und eine Website bringen die Kritik auf den Punkt: Sadlock. Das Ausmaß des Problems erfüllte die Erwartungen nicht. Für das Ausnutzen der Lücke muss ein Angreifer ins lokale Netz gelangen, merken die Kritiker an. Was der Lücke bei Microsoft entsprechend auch keine Einschätzung als kritisch einbringt.

In einem Gespräch mit Volker Lendecke, Mitgründer von SerNet und ebenfalls Mitglied im Samba-Team, erfuhr c't schon einige Tage vor Erscheinen der Patches Details über die Lücke in Windows und Samba mit großer Tragweite: Badlock war schon viele Monate früher entdeckt worden. Die Patches waren zu diesem Zeitpunkt bereits fertig und viele OEMs, die mit dem Samba-Team kooperieren, bereits informiert.

Wer die jetzt angepassten Samba-Versionen einsetzt, muss trotz aller Vorbereitung mit Problemen rechnen. Unsere Erfahrungen: Von RedHat ausgelieferte aktualisierte Pakete von Samba 3.6 torpedierten die Anmeldung von Nutzern in einer Samba-3-Domäne. Viele aktualisierte Pakete für Samba 4.2 wiesen Nutzeranmeldungen in einem Windows-AD ab, wenn der verwendete Hostname nicht dem NetBIOS-Namen entsprach – hier entspannte der zusätzliche Einsatz von Winbind als Namensdienst die Lage.

Siehe zu Badlock und dem Gespräch mit den Samba-Entwicklern den Artikel bei c't online (aus c't 9/2016, S. 24):

(ps)