Server Message Block/SMB是微軟開發(fā)的服務(wù)器系統(tǒng)可在企業(yè)內(nèi)部環(huán)境中非常輕松的搭建文件和資料共享系統(tǒng)。此前勒索軟件WannaCry蠕蟲病毒就是通過SMB未修復(fù)漏洞傳播的 , 當(dāng)時(shí)許多企業(yè)內(nèi)網(wǎng)大量計(jì)算機(jī)感染蠕蟲病毒。因此對(duì)于企業(yè)來說及時(shí)修復(fù)該服務(wù)器的漏洞非常關(guān)鍵，除非漏洞被公開而微軟并沒有發(fā)布安全更新修復(fù)安全漏洞。關(guān)鍵是如果不是零日漏洞，那么微軟怎么會(huì)不修復(fù)漏洞就公開漏洞呢？事實(shí)證明微軟有時(shí)候還真的能做出這種事。

微軟不慎將SMBv3協(xié)議漏洞公開： 

昨天微軟向Windows 10各個(gè)分支版本發(fā)布例行累積更新修復(fù)漏洞，通常微軟發(fā)布安全更新的同時(shí)也會(huì)公布漏洞。而編號(hào)為CVE-2020-0796的SMBv3協(xié)議漏洞同時(shí)被微軟公開，該協(xié)議被廣泛使用因此極易遭到蠕蟲病毒的感染。讓人震驚的是微軟公開漏洞的同時(shí)竟然沒有在累積更新中修復(fù)漏洞，這意味著現(xiàn)在壓根沒有補(bǔ)丁可用于修復(fù)漏洞。在發(fā)現(xiàn)不慎將未修復(fù)漏洞公開后微軟立即刪除漏洞的相關(guān)細(xì)節(jié)，但還是有部分安全公司通過接口抓取到漏洞詳情。

例如思科旗下安全實(shí)驗(yàn)室在抓取漏洞后已經(jīng)發(fā)布漏洞細(xì)節(jié)，在發(fā)現(xiàn)微軟撤回漏洞后思科也隨之將漏洞報(bào)告刪除了。但顯然在互聯(lián)網(wǎng)上只要內(nèi)容發(fā)布想要徹底的刪除干凈是個(gè)困難的事情，目前已經(jīng)有不少爬蟲將漏洞報(bào)告保存下來。

我們懷疑微軟可能發(fā)現(xiàn)其他BUG：

正常流程上說微軟是不太可能不修復(fù)漏洞就公開漏洞細(xì)節(jié)的，尤其是還是蠕蟲漏洞這類危害性比較高的安全漏洞。我們有理由相信微軟應(yīng)該是已經(jīng)制作漏洞修復(fù)補(bǔ)丁 , 但是在累積更新發(fā)布前可能發(fā)現(xiàn)其他BUG導(dǎo)致刪除修復(fù)補(bǔ)丁?？赡芪④洶踩珗F(tuán)隊(duì)與產(chǎn)品團(tuán)隊(duì)之間溝通還有問題，導(dǎo)致補(bǔ)丁被撤回后安全團(tuán)隊(duì)還是將這枚高危漏洞的細(xì)節(jié)公布了。不幸中的萬幸是目前只有漏洞細(xì)節(jié)被公布并沒有相關(guān)利用代碼，因此攻擊者要發(fā)動(dòng)攻擊可能還需要更多時(shí)間準(zhǔn)備。

企業(yè)IT管理員最好提前做準(zhǔn)備：

鑒于該漏洞危害程度較高極易被諸如WannaCry 和NotPetya 勒索軟件利用，因此建議IT管理員們提前做好準(zhǔn)備。思科安全團(tuán)隊(duì)給出的建議是當(dāng)前最好禁用SMBv3協(xié)議并同時(shí)禁用445端口 , 防止有蠕蟲病毒借助該端口發(fā)動(dòng)攻擊。IT管理員也可以利用系統(tǒng)內(nèi)置的防火墻或第三方安全軟件提供的防火墻進(jìn)行過濾，將TCP 445端口阻斷應(yīng)對(duì)攻擊。

此外微軟已經(jīng)重新發(fā)布漏洞通報(bào)對(duì)漏洞大致情況進(jìn)行介紹并提供緩解辦法，建議管理員們修改策略緩解這枚漏洞。