SMB 漏洞最新情况 [转译]


《本文转译自 Microsoft Security Research & Defense 博客文章“Update on the SMB vulnerability situation

本文将向大家介绍影响 Windows Vista 和 Server 2008 的微软服务信息块版本2(SMBv2)漏洞的最新情况。主要内容如下:

  • 禁用SMBv2的简单方式
  • 发布给少数几个公司的首批代码执行利用
  • 帮助阻止攻击的缓解措施
  • 补丁情况

禁用 SMBv2 的简单方式

在安全更新发布前,保护系统免受此漏洞影响的最好方式是禁用对 SMB 协议版本 2 的支持。昨天更新的安全公告中有指向微软 Fix It 包的链接,它可以禁用 SMBv2,然后停止和重启 服务器服务 Server Service。(最初的 Fix It 也可能提示你重启 浏览器服务 Browser Service)。

image

  • 要进行逆向操作,重新启用 SMBv2,请点击如下链接:Re-Enable SMBv2

image

禁用 SMBv2 可能会减慢 Windows Vista 和 Windows Server 2008 机器之间的 SMB 连接速度。

发布给少数几个公司的首批代码执行利用

我们尚未发现外界对此漏洞的任何利用或实际的攻击。

不过,我们发现了由 Immunity 公司开发的攻击代码,他们把代码发布给了订阅 CANVAS Early Updates 项目的客户。我们已经分析了代码,确信它对 Windows Vista 和Windows Server 2008 系统有作用。这个攻击会获取对目标系统的完全控制并且可以由未授权用户发起。

这个攻击可以被有目标漏洞(CVE-2009-3103)签名的入侵检测系统和防火墙(IDS)检测到。

这个来自 Immunity 的攻击代码仅有少数几个公司和组织可用,他们主要用它来检测自己的网络、系统或其客户的风险。(我们意识到其它组织正积极地研究攻击代码,一旦完成,很可能会被公开)。

帮助阻止攻击的缓解措施

有一些可以阻止攻击的缓解因素,例如:

  • 企业级用户可用使用一条简单的注册脚本或上述 Fix It 禁用 SMBv2。禁用了 SMBv2,漏洞代码就不会被访问到。
  • 普通用户(非企业网络的)会有 Windows Vista 中默认开启的防火墙保护:
    • 默认开启的 Windows 防火墙可以保护有漏洞的系统;
    • 仅当用户明确共享一个文件夹或打印机时,默认开启的 Windows 防火墙才会允许数据包通过;
    • 当 Windows Vista 用户选择“公网“防火墙设置时,即使有文件夹或打印机共享,防火墙也会阻止数据包通过。

补丁情况

即使有上述缓解措施,我们也没有放慢研究速度,我们正在开发可供所有用户使用的补丁。产品组已经构建出补丁包,正在努力测试以确保补丁质量。大家无法想象正式的补丁发布前所需的测试数量。对这个补丁,产品组目前已在他们的回归测试中完成了 10,000 个独立的测试案例。他们现在在进行压力测试、第三方应用测试和模糊测试。我们相信能够在补丁需要发布的日期前完成测试。我们在密切关注变化的形势,并在当前形势和余下的测试间作出平衡,来决定向用户发布高质量补丁的最合适日程。

- Mark Wodrich and Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*

Comments (0)

Skip to main content