Kritische Samba‑Lücke (CVE‑2025‑10230) ermöglicht Remote‑Codeausführung auf Domänencontrollern

Eine kritische Sicherheitslücke im WINS-Server‑Hook‑Skript von Samba erlaubt es nicht authentifizierten Angreifern, beliebige Befehle auf betroffenen Domänencontrollern auszuführen. Die Schwachstelle, katalogisiert als CVE‑2025‑10230, erreicht mit einem CVSSv3.1‑Wert von 10,0 das höchstmögliche Risiko — ein Hinweis auf einfache Ausnutzbarkeit und gravierende Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Voraussetzung für die Ausnutzung ist, dass auf dem Samba‑Server die WINS‑Unterstützung aktiviert ist (standardmäßig ist sie ausgeschaltet) und ein „wins hook“‑Parameter konfiguriert wurde. In diesem Fall startet das angegebene Programm immer dann, wenn ein WINS‑Name geändert wird. Der vom Samba Active Directory‑Domänencontroller eingesetzte WINS‑Server überprüfte die an das wins‑hook‑Programm übergebenen Namen nicht, sondern fügte sie direkt in eine von der Shell ausgeführte Zeichenkette ein.

Weil WINS ein veraltetes, grundsätzlich vertrauenswürdiges Protokoll ist und Clients beliebige NetBIOS‑Namen innerhalb der 15‑Zeichen‑Grenze anfragen können — einschließlich bestimmter Shell‑Metazeichen — lässt sich über diese Nachlässigkeit die Ausführung beliebiger Kommandos auf dem Host erzwingen. Nicht betroffen ist der von Samba verwendete WINS‑Server, sofern er nicht als Domänencontroller betrieben wird.

Verfügbarkeit des Sicherheitsupdates

Zur Behebung der kritischen Samba-Schwachstelle stehen Patches unter folgendem Link bereit:

https://www.samba.org/samba/security/

Zusätzlich wurden Sicherheitsupdates für Samba in den Versionen 4.23.2, 4.22.5 und 4.21.9 veröffentlicht. Administratoren wird dringend empfohlen, zeitnah auf eine dieser Versionen zu aktualisieren oder den entsprechenden Patch einzuspielen.

CVSSv3-Berechnung
CVSS:3.1: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (10,0)

Workaround

Um das Risiko der Sicherheitslücke zu minimieren, sollte der Parameter „wins hook” in der smb.conf eines Samba-AD-Domänencontrollers vermieden werden.

Der Parameter ist nur aktiv, wenn „wins support” eingeschaltet ist. Ist dieser deaktiviert, wie es standardmäßig der Fall ist, stellt die Konfiguration keine Gefahr dar, selbst wenn „wins hook” gesetzt ist:

Es ist nicht wirksam, „wins hook” auf einen ungültigen oder nicht ausführbaren Pfad zu setzen. Ein explizit leerer Wert ist jedoch sicher:

wins hook =

Server, deren „server role” nicht auf „domain controller“ (oder Synonyme wie „active directory domain controller“ bzw. „dc“) gesetzt ist, sind von der Schwachstelle nicht betroffen. Dazu gehören insbesondere Mitglieds- oder Standalone-Server, die einen anderen, nicht anfälligen WINS-Server verwenden.

Auf Domänencontrollern ist der Parameter „wins hook” in der Regel wenig nützlich. Administratoren sollten prüfen, ob er nach dem Einspielen von Sicherheitsupdates noch erforderlich ist, da er in zukünftigen Samba-Versionen möglicherweise entfernt wird.

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky