外媒 Threatpost 称,早在 2016 年 9 月 25 日,安全专家 Laurent Gaffie 就发现了一个 Windows Server 的严重安全漏洞,但是在其向微软发出警告以后,微软至今没有修复该漏洞。
美国计算机应急响应小组(US CERT)披露,在 SMB 服务中发现的这个新的“零日”安全漏洞,将导致 Windows 8.1 和 Windows 10 操作系统的面临被攻击的风险。
有关利用该零日漏洞的攻击代码,已在 GitHub 上被曝光 。曝光该漏洞的正是 Laurent Gaffie,据说,这是因为漏洞发布后,微软迟迟没有修复动作, 惹怒了 Laurent Gaffie 。
2 月 1 日, Laurent Gaffie 在推特表示:如果我为这家价值数十亿美金的公司做了免费工作而没有受到奖励,为什么我要容忍他搁置我的漏洞?
于是,他在下一条推特上就放上了漏洞细节。
2 月 5 日,Laurent Gaffie 又放出一张截图,截图中,微软对他的贡献予以了承认。可是 Laurent Gaffie 依然很生气,因为如果真的重视,补丁在哪里? Laurent Gaffie 甚至表示,“都是谎话,看来我今年应该不会被邀请参加 SDLC 会议了。”
【Laurent Gaffie 的推特截图】
在微软官方补丁到来之前,Windows 8.1 / 10 操作系统的用户均直接暴露在危险之中。
Laurent Gaffie 还称,微软计划在下一个“补丁星期二”发布该漏洞的补丁,也就是 2 月 14 号,本月的第二个周二。然而,如果该漏洞确实危急,并已被黑客利用,也不排除微软打破常规补丁周期的可能性。
事实上,雷锋网了解到,微软早已在 3 个月前就准备好了针对该漏洞的补丁,却依然打算在 2 月 14 日与其他 SMB 补丁一起发布,这是为什么?
微软的发言人在对 Threatpost 的邮件回复中,这样说:“在我们的安全政策中,对于低风险的问题修复,将安排在下周二(即 2 月 14 日)。”
微软的意思是:这个漏洞是“低风险”级别的,不足为惧?
卡耐基梅隆大学计算机紧急响应小组协调中心(CERT/CC)的公告曾称,“微软 Windows 在 SMB 流量处理中存在内存泄露漏洞,可致远程未授权攻击者在脆弱系统上造成拒绝服务或潜在的任意代码执行。”但是,至今尚无利用此漏洞造成的成功任意代码执行报道。
而漏洞情报公司 Risk Based Security 的首席研究员表示,目前观测到的系统崩溃并未显示出有直接的代码执行,但情况可能有变。目前仅处于分析的初期阶段。
Laurent Gaffie 则对媒体表示,他和微软都认为,通过该漏洞进行远程执行似乎不太可能, SMB 通常不会暴露在网络上。但 Laurent Gaffie 也表示,比起通过开放端口 445 进行的 SMB 连接,用户在出站连接上所做的连接至远程文件服务器更可能被允许。
CERT/CC 则建议网络管理员封锁从本地网络到互联网的出站 SMB 连接——TCP 139 和 445 端口,以及 UDP 137 和 138 端口。这么做不能完全消除该威胁,但能隔离本地网络。
我们与 “2016 年微软 MSRC Top 100 榜单上贡献度排行第 8 的百度安全实验室的资深安全工程师黄正” 取得了联系,他表示:
“如果是微软的远程代码执行的 0day 漏洞被公开,微软应该会出紧急补丁,微软甚至会为 Adobe Flash 的 0day 漏洞推送紧急补丁,CVE-2017-0016 这个漏洞的攻击效果是远程蓝屏,我想微软评估危害没有那么大,所以不推紧急补丁,这个漏洞对普通网民影响是很小的,因为 445、139 端口默认是被防火墙保护起来的。”
但是,也有报道称,有安全工程师已经顺利地在打了完整补丁的 Windows 10 / 8.1 计算机上重现了一次拒绝服务(DDoS)攻击。
对此,黄正认为:
“如果能证实 CVE-2017-0016 影响 Windows 服务器操作系统,那还是危害挺大的,会导致网站、数据库停止服务,对企业正常业务造成影响。我们没有测试是否影响 Windows Server。”
最后,附上由雷锋网特邀测试员张森对该漏洞进行远程攻击造成蓝屏的演示:https://v.qq.com/x/page/v0373zpvtb5.html?start=2