外媒 threatpost 稱,早在 2016 年 9 月 25 日,安全專家 laurent gaffie 就發現了一個 windows server 的嚴重安全漏洞,但是在其向微軟發出警告以後,微軟至今沒有修複該漏洞。
美國計算機應急響應小組(us cert)披露,在 smb 服務中發現的這個新的“零日”安全漏洞,将導緻windows 8.1 和 windows 10 作業系統的面臨被攻擊的風險。
有關利用該零日漏洞的攻擊代碼,已在 github 上被曝光 。曝光該漏洞的正是 laurent gaffie,據說,這是因為漏洞釋出後,微軟遲遲沒有修複動作, 惹怒了 laurent gaffie 。
2月1日, laurent gaffie 在推特表示:如果我為這家價值數十億美金的公司做了免費工作而沒有受到獎勵,為什麼我要容忍他擱置我的漏洞?
于是,他在下一條推特上就放上了漏洞細節。
2月5日,laurent gaffie 又放出一張截圖,截圖中,微軟對他的貢獻予以了承認。可是 laurent gaffie 依然很生氣,因為如果真的重視,更新檔在哪裡? laurent gaffie 甚至表示,“都是謊話,看來我今年應該不會被邀請參加sdlc會議了。”
【laurent gaffie的推特截圖】
在微軟官方更新檔到來之前,windows 8.1 / 10 作業系統的使用者均直接暴露在危險之中。
laurent gaffie 還稱,微軟計劃在下一個“更新檔星期二”釋出該漏洞的更新檔,也就是 2 月 14 号,本月的第二個周二。然而,如果該漏洞确實危急,并已被黑客利用,也不排除微軟打破正常更新檔周期的可能性。
事實上,雷鋒網(公衆号:雷鋒網)了解到,微軟早已在3個月前就準備好了針對該漏洞的更新檔,卻依然打算在 2 月 14 日與其他 smb 更新檔一起釋出,這是為什麼?
微軟的發言人在對 threatpost 的郵件回複中,這樣說:“在我們的安全政策中,對于低風險的問題修複,将安排在下周二(即2月14日)。”
微軟的意思是:這個漏洞是“低風險”級别的,不足為懼?
卡耐基梅隆大學計算機緊急響應小組協調中心(cert/cc)的公告曾稱,“微軟windows在smb流量進行中存在記憶體洩露漏洞,可緻遠端未授權攻擊者在脆弱系統上造成拒絕服務或潛在的任意代碼執行。”但是,至今尚無利用此漏洞造成的成功任意代碼執行報道。
而漏洞情報公司 risk based security 的首席研究員表示,目前觀測到的系統崩潰并未顯示出有直接的代碼執行,但情況可能有變。目前僅處于分析的初期階段。
laurent gaffie 則對媒體表示,他和微軟都認為,通過該漏洞進行遠端執行似乎不太可能, smb通常不會暴露在網絡上。但laurent gaffie 也表示,比起通過開放端口 445 進行的 smb 連接配接,使用者在出站連接配接上所做的連接配接至遠端檔案伺服器更可能被允許。
cert/cc 則建議網絡管理者封鎖從本地網絡到網際網路的出站 smb 連接配接——tcp 139 和 445 端口,以及udp 137 和 138 端口。這麼做不能完全消除該威脅,但能隔離本地網絡。
雷鋒網與 2016 年微軟 msrc top 100 榜單上貢獻度排行第 8 的百度安全實驗室的資深安全工程師黃正取得了聯系,他表示:“如果是微軟的遠端代碼執行的 0day 漏洞被公開,微軟應該會出緊急更新檔,微軟甚至會為 adobe flash 的 0day 漏洞推送緊急更新檔,cve-2017-0016 這個漏洞的攻擊效果是遠端藍屏,我想微軟評估危害沒有那麼大,是以不推緊急更新檔,這個漏洞對普通網民影響是很小的,因為445、139端口預設是被防火牆保護起來的。”
但是,也有報道稱,有安全工程師已經順利地在打了完整更新檔的 windows 10 / 8.1 計算機上重制了一次拒絕服務(ddos)攻擊。
對此,黃正認為:“如果能證明 cve-2017-0016 影響 windows 伺服器作業系統,那還是危害挺大的,會導緻網站、資料庫停止服務,對企業正常業務造成影響。我們沒有測試是否影響 windows server。”