Суть уязвимости в том, что протокол MS-NRPC (Netlogon Remote Protocol) позволяет при обмене данными аутентификации откатиться на использование RPC-соединения без шифрования. После этого атакующий может использовать брешь в алгоритме AES-CFB8 для подделки (спуфинга) успешного входа в систему. Для входа с правами администратора в среднем требуется около 256 попыток спуфинга. Для совершения атаки не требуется наличие рабочей учётной записи в контроллере домена — попытки спуфинга можно совершать с использованием неверного пароля. Запрос аутентификации через NTLM будет перенаправлен на контроллер домена, который вернёт отказ доступа, но атакующий может подменить данный ответ, и атакуемая система посчитает вход успешным.
В Samba уязвимость проявляется только в системах, не использующих настройку «server schannel = yes», которая начиная с Samba 4.8 выставлена по умолчанию. В частности скомпрометированы могут быть системы с настройками «server schannel = no» и «server schannel = auto», которые позволяют в Samba использовать те же недоработки в алгоритме AES-CFB8, что и в Windows.
При использовании подготовленного для Windows эталонного прототипа эксплоита, в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 заканчивается сбоем (эксплоит требует адаптации для Samba). Про работоспособность альтернативных эксплоитов (1, 2, 3, 4) ничего не сообщается. Отследить попытка атаки на системы можно через анализ наличия записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в логах аудита Samba.
Источник: http://www.opennet.ru/opennews/art.shtml?num=53728