前言

國外技術(shù)網(wǎng)站Github曝光了Windows SMBv3存在遠(yuǎn)程攻擊0day漏洞。根據(jù)已公開的漏洞驗(yàn)證代碼(POC)，攻擊者可以迫使受影響系統(tǒng)藍(lán)屏崩潰。目前微軟尚未對此漏洞發(fā)布公告，暫不明確何時(shí)將推出補(bǔ)丁。

經(jīng)驗(yàn)證，此漏洞主要影響Windows Server 2012/2016、Win8/8.1以及Win10系統(tǒng)。攻擊者可以模擬成一個(gè)SMB服務(wù)器，誘使客戶端發(fā)起SMB請求來觸發(fā)漏洞;攻擊者也可以通過中間人方式“毒化”SMB回應(yīng)，插入惡意的SMB回復(fù)實(shí)現(xiàn)拒絕服務(wù)。

研究人員在Win10上驗(yàn)證SMBv3遠(yuǎn)程拒絕服務(wù)漏洞攻擊

關(guān)于Microsoft 服務(wù)器消息塊(SMB)協(xié)議

Microsoft 服務(wù)器消息塊 (SMB) 協(xié)議是 Microsoft Windows 中使用的一項(xiàng) Microsoft 網(wǎng)絡(luò)文件共享協(xié)議。

漏洞影響范圍

此漏洞存在于SMB客戶端(mrxsmb20.sys)，已公開的POC可以導(dǎo)致系統(tǒng)BSOD，即死亡藍(lán)屏。攻擊者可以通過139、445等遠(yuǎn)程端口，或中間人攻擊，甚至以包含UNC路徑的郵件、文檔或網(wǎng)頁誘騙用戶點(diǎn)擊觸發(fā)漏洞。

漏洞緩解措施

鑒于該漏洞攻擊方法已經(jīng)公開，且尚無補(bǔ)丁，360安全中心建議企業(yè)客戶在防火墻處阻止TCP 端口 139 和 445，通過阻止入站和出站 SMB 流量，保護(hù)位于防火墻后面的系統(tǒng)防范此漏洞攻擊造成的安全風(fēng)險(xiǎn)。