Veel beveiligingsonderzoekers stonden op scherp en alle ogen waren gericht op de website van het beveiligingsbedrijf SerNet. Maar nu alle informatie bekend is blijkt het allemaal wel mee te vallen. De gevonden lekken zijn inderdaad pittig en het is zeker aan te raden je systemen te patchen, maar de bug heeft bij lange na niet de impact van een Heartbleed of een Goto Fail. Al lijkt dit lek wel een klein beetje op Goto Fail.

Andrew Storms, vice president van security services bij New Context, benadrukt dat de hype die rondom Badlock is ontstaan vooral afleidt van andere beveiligingslekken en bijbehorende patches die de afgelopen werken zijn uitgekomen. "Voor veel mensen was Badlock niets meer dan een grote hype. Beveiligingsteams zouden wel direct moeten patchen, maar zouden de bug wel in perspectief moeten plaatsen met de andere patches die Microsoft vandaag heeft uitgebracht. Het patchen van de remote execution bug in Internet Explorer kan belangrijker zijn voor je organisatie dan de overhypte Badlock."

Het valt daarbij ook op dat Microsoft niet meedoet met deze hype en de patch (MS16-047) heeft gelabeld als "belangrijk" en niet als "kritiek". Dit is hoogstwaarschijnlijk gedaan omdat de bug niet echt van toepassing is op alledaagse gebruikers. Red Hat gaat echter een stapje verder en heeft het lek wel als kritiek bestempeld. "Alle Samba-servers die zijn geconfigureerd als een bestands- of print-server zijn kwetsbaar voor deze bug. De aanvaller kan deze kwetsbaarheid misbruiken om gebruikerspermissies op bestanden en directories te wijzigen."

Op de volgende pagina: Wat houdt de Badlock Bug in?

Zoals je op de vorige pagina hebt kunnen lezen lijkt het dus allemaal wel mee te vallen. De badlock bug kan in het ergste geval worden misbruikt voor een DDoS-aanval of een man-in-the-middle-aanval. Hoewel deze aanvallen nog steeds aardig wat schade kunnen aanrichten, is de impact dus een stuk kleiner dan in eerste instantie werd gesuggereerd. De beveiligingscommunity slaakt in elk geval een kleine zucht van verlichting en maakt de hype rondom de badlock bug zelfs belachelijk.

Wat houdt de Badlock-bug precies in?

De Badlock bug is een EoP-kwetsbaarheid in de Windows Security Account Manager (SAM) en de Local Security Authority (Domain Policy) (LSAD) remote protocols. Aanvallers die de kwetsbaarheid misbruiken kunnen toegang krijgen tot de SAM database en een man-in-the-middle-aanval uitvoeren. Via deze aanval kunnen de authenticatie-niveaus van de SAM en LSAD kanalen worden gedowngraded en een ongeautoriseerde verbinding gemaakt worden. 

Iedereen die versie 3.6.x tot 4.4.0 van Samba gebruikt is vatbaar voor de bug. Gebruikers die versie 4.1 of lager gebruiken zullen moeten upgraden naar een nieuwere versie aangezien deze niet meer worden ondersteund. Alle patches zijn hier te vinden.

De vertegenwoordigers van SerNet en Samba hebben overigens nog niet gereageerd op alle commotie die is ontstaan in de beveiligingscommunity. Het ziet er naar uit dat de mensen die het destijds op een marketingstunt gooide in deels gelijk hebben gekregen.