SMB 漏洞最新情况 [转译]

《本文转译自 Microsoft Security Research & Defense  博客文章“ Update on the SMB vulnerability situation ” 》

本文将向大家介绍影响 Windows Vista 和 Server 2008 的微软服务信息块版本2（SMBv2）漏洞的最新情况。主要内容如下：

• 禁用SMBv2的简单方式
• 发布给少数几个公司的首批代码执行利用
• 帮助阻止攻击的缓解措施
• 补丁情况

禁用 SMBv2 的简单方式

在安全更新发布前，保护系统免受此漏洞影响的最好方式是禁用对 SMB 协议版本 2 的支持。昨天更新的安全公告中有指向微软 Fix It 包的链接，它可以禁用 SMBv2，然后停止和重启 服务器服务 Server Service。（最初的 Fix It 也可能提示你重启 浏览器服务 Browser Service）。

• 点击如下链接使用 Fix It：Disable SMBv2

• 要进行逆向操作，重新启用 SMBv2，请点击如下链接：Re-Enable SMBv2

禁用 SMBv2 可能会减慢 Windows Vista 和 Windows Server 2008 机器之间的 SMB 连接速度。

发布给少数几个公司的首批代码执行利用

我们尚未发现外界对此漏洞的任何利用或实际的攻击。

不过，我们发现了由 Immunity 公司开发的攻击代码，他们把代码发布给了订阅 CANVAS Early Updates 项目的客户。我们已经分析了代码，确信它对 Windows Vista 和Windows Server 2008 系统有作用。这个攻击会获取对目标系统的完全控制并且可以由未授权用户发起。

这个攻击可以被有目标漏洞（CVE-2009-3103）签名的入侵检测系统和防火墙（IDS）检测到。

这个来自 Immunity 的攻击代码仅有少数几个公司和组织可用，他们主要用它来检测自己的网络、系统或其客户的风险。（我们意识到其它组织正积极地研究攻击代码，一旦完成，很可能会被公开）。

帮助阻止攻击的缓解措施

有一些可以阻止攻击的缓解因素，例如：

• 企业级用户可用使用一条简单的注册脚本或上述 Fix It 禁用 SMBv2。禁用了 SMBv2，漏洞代码就不会被访问到。
• 普通用户（非企业网络的）会有 Windows Vista 中默认开启的防火墙保护：
  • 默认开启的 Windows 防火墙可以保护有漏洞的系统；
  • 仅当用户明确共享一个文件夹或打印机时，默认开启的 Windows 防火墙才会允许数据包通过；
  • 当 Windows Vista 用户选择“公网“防火墙设置时，即使有文件夹或打印机共享，防火墙也会阻止数据包通过。

补丁情况

即使有上述缓解措施，我们也没有放慢研究速度，我们正在开发可供所有用户使用的补丁。产品组已经构建出补丁包，正在努力测试以确保补丁质量。大家无法想象正式的补丁发布前所需的测试数量。对这个补丁，产品组目前已在他们的回归测试中完成了 10,000 个独立的测试案例。他们现在在进行压力测试、第三方应用测试和模糊测试。我们相信能够在补丁需要发布的日期前完成测试。我们在密切关注变化的形势，并在当前形势和余下的测试间作出平衡，来决定向用户发布高质量补丁的最合适日程。

- Mark Wodrich and Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”，不作任何保证，且不赋予任何权利*