Foi descoberta uma vulnerabilidade crítica no Samba que pode transformar um controlador de domínio em porta de entrada para invasores. O bug está no script WINS hook usado por controladores AD quando o suporte a WINS está ativado. Com ele, um atacante remoto pode enviar um nome especialmente forjado e fazer o servidor executar comandos arbitrários tudo sem precisar fazer login.
Rastreada como CVE‑2025‑10230, essa falha foi classificada com pontuação 10.0 no CVSS v3.1, o nível máximo, o que reflete sua facilidade de exploração e impacto total sobre confidencialidade, integridade e disponibilidade.
Entenda como a falha funciona
O bug aparece somente em ambientes que ativaram suporte a WINS no Samba e configuraram o parâmetro wins hook no smb.conf de um controlador de domínio. Nesse cenário, cada vez que um nome WINS é alterado (por exemplo, via NetBIOS), o programa definido no hook é executado sem qualquer verificação de segurança.
O problema real está na forma como o Samba passa o nome para o script: ele insere diretamente a string em um comando de shell. Se o atacante inserir metacaracteres como ;, && ou backticks, poderá injetar código que será executado no servidor com privilégios de sistema.
Vale destacar que, por padrão, o WINS support está desativado, o que significa que muitos servidores não estão vulneráveis. Mas quem habilitou para integrar aplicações legadas, redes antigas ou compatibilidade com sistemas NetBIOS corre risco.
Outro ponto importante: servidores Samba que não funcionam como controladores de domínio por exemplo, membros (member servers) ou servidores autônomos utilizam uma implementação diferente de WINS e não são afetados por essa falha.
Quem corre risco e o que pode acontecer
Qualquer organização que use Samba como controlador de domínio (Active Directory) e tenha ativado o serviço WINS com o parâmetro wins hook está potencialmente vulnerável.
As consequências são graves: invasores podem executar código remoto com níveis elevados, tomar controle dos controladores, instalar backdoors, mover-se lateralmente pela rede e roubar dados sensíveis.
A combinação da falta de requisito de autenticação, do vetor de rede e do controle total do sistema faz dessa falha uma das mais perigosas encontradas no Samba nos últimos anos.
Como se proteger: patches e mitigação
Patches já foram liberados: as versões Samba 4.23.2, 4.22.5 e 4.21.9 contêm correções para o bug. Portanto, administradores devem atualizar o quanto antes.
Se a atualização imediata não for possível, é fundamental desativar o uso do hook vulnerável. Uma medida simples é definir no smb.conf:
wins hook =Ou desativar inteiramente o suporte a WINS:
wins support = noEssas alterações impedem que comandos sejam invocados via hook, neutralizando o risco mesmo com WINS ativado.
Também é recomendável auditar configurações existentes de WINS em controladores, procurar por hooks desnecessários e planejar migrar aplicações legadas para métodos mais seguros no longo prazo. samba.org
No futuro, versões do Samba podem até remover o suporte a WINS hook como função obsoleta algo a ser considerado por times que ainda dependem desse recurso.
