Samba bei bestimmter Konfiguration über kritische Lücke angreifbar
Bei aktiviertem WINS-Support können Angreifer unter bestimmten Voraussetzungen Befehle aus der Ferne ausführen. Es gibt wichtige Patches und einen Workaround.
Remote Code Execution ohne Authentifizierung
Admins von Samba Active Directory (AD)-Domänencontrollern, die auf von ihnen betreuten Servern den Support für WINS (Windows Internet Name Service) aktiviert und zusätzlich den “wins hook”-Parameter gesetzt haben, sollten zügig handeln: In der freien Implementierung des SMB-Protokolls klafft eine kritische Lücke mit CVSS-Höchstwertung 10.0 “Critical”, die auf eben diese Nicht-Default-Konfiguration abzielt.
Verwundbar sind bei entsprechender Konfiguration alle Samba-Versionen seit 4.0. Die Entwickler haben Patches (Samba 4.23.2, 4.22.5 und 4.21.9) bereitgestellt und einen Workaround veröffentlicht. Alle Lücken-Details schlüsselt das Samba-Advisory zu CVE-2025-10230 auf; die Patches können von der Security-Release-Site heruntergeladen werden.
Laut Samba-Entwicklern fußt die Sicherheitslücke auf mangelhaften Validierungsmechanismen des veralteten WINS-Protokolls zur zentralen Namensauflösung in lokalen Netzwerken. Clients, die ihre Namen beim Server registrierten, konnten dabei offenbar freie Namenswahl betreiben (“clients can request any name that fits within the 15 character NetBIOS limit”) und auch Shell-Metazeichen übermitteln. Auf diese Weise wäre es unauthentifizierten Angreifern schlimmstenfalls möglich gewesen, aus der Ferne schädliche Befehle abzusetzen und Code auszuführen (Remote Code Execution).
Workaround via smb.conf
Ob der WINS-Support aktiviert wurde, kann man (auch vorsorglich) in der smb.conf überprüfen. Standardmäßig ist er inaktiv, und auch der “wins hook”-Parameter ist nicht gesetzt.
Als “sicher” – und damit zugleich als Workround – nennen Samba-Entwickler in ihrem Advisory die folgende Kombination:
|
|
Sofern der WINS-Support deaktiviert ist, spielt der “wins hook” zugewiesene Parameter-Wert (ebenfalls Bestandteil der smb.conf) keine Rolle. Wer auf Nummer Sicher gehen möchte, setzt ihn auf einen leeren Wert:
|
|
Ebenfalls noch wichtig: Ist als “server role” in der Konfigurationsdatei smb.conf nicht “domain controller” (oder eines der Synonyme “active directory domain controller” oder “dc”) gesetzt, ist der Server laut Entwicklern grundsätzlich nicht über diese Lücke verwundbar.
Weitere Lücke mit “Medium”-Wertung gefixt
Im Zuge des Patchens wurde, wie auf der Release-Site beschrieben, gleich noch eine zweite Sicherheitslücke (CVE-2025-9640) behoben, die allerdings lediglich mit einem CVSS-Score von 4.3 bewertet ist.
Da diese aber alle Samba-Versionen seit 3.2 betrifft und nicht von speziellen Konfigurationen abhängt, ist auch sie zumindest erwähnens- und beachtenswert. Unter bestimmten Voraussetzungen könnte sie missbraucht werden, um sensible Daten auszulesen.