Badlock漏洞影响Samba、Windows引争议

被称为Badlock的新漏洞引发专家漏洞披露的争论。对Windows和Samba中这个关键安全漏洞的修复今日才发布,而有关该漏洞的新闻三周前就被公布了,由德国安全咨询公司SerNet公布。

该漏洞由SerNet公司Samba长期开发人员Stefan Metzmacher发现,根据SerNet的公告,Badlock是影响几乎所有版本windows和Samba的严重漏洞。

对Windows和Samba 4.4、4.3和4.2版本的修复程序今日发布;而同样受到该漏洞影响的Samba 4.1已在3月23日停止支持。

“这次公告的主要目标是让你准备好尽快修复所有系统,让系统管理员有时间及时进行修复。”

炒作还是有效的漏洞披露?

SerNet的公告引发了针对软件漏洞披露做法的又一次争论。

“在引起大家对严重漏洞的关注与过度炒作之间只有一线之隔,”该网站指出,“这个过程已经开始一段时间,所有人都要开始修复。”

对于这个公告是SerNet试图利用Metzmacher的发现还是对漏洞的负责任的披露(让管理员有足够时间来准备好安装补丁程序),专家持有不同意见。

“在漏洞报告领域,新的发展是找一个朗朗上口的名字和标志,用于营销目的,”Fidelis Cybersecurity公司威胁系统经理John

Bambenek表示,“在这个情况中,所涉及的人们似乎是Samba核心团队的一部分,所以他们是‘自己人’,他们的动机似乎是引起关注,发布补丁。”

虽然这可能是为了营销,但有些评论家认为这个公告具有威胁性,因为这可能给恶意研究者足够的时间来寻找漏洞,并在补丁发布前利用漏洞。

是否是负责任的披露?

对于Badlock是否是负责任的披露,专家也持不同意见。

Bambenek表示:“总的来看,这似乎是一个负责任的披露。”尽管攻击者可能会寻找漏洞以及利用漏洞的方法,但他表示这个风险应该被考虑到,还应考虑到需要作出修复决策的防御者的利益。他们需要在补丁发布到Windows Update之前获取有关这个漏洞的信息。

他认为攻击者在补丁发布前发现该漏洞的风险很低,但如果真的发生,微软和Samba至少提前知道这个漏洞是什么,他们可以利用备用的缓解措施。

Tripwire公司安全研究人员Lane Thames表示:“早期Badlock公告处于负责任的漏洞披露的边缘。对于非常了解这个软件系列以及底层协议的攻击者来说,已经有足够的信息让他们可以找到漏洞代码。”

然而,并不是所有人都认为Badlock是负责任的披露。

“我个人不认为这是一个好办法,安全意识很重要,但你不应该只是让人们意识到这个问题,还应该提供解决方案,”应用安全公司ERPScan首席技术官Alexander

Polyakov表示,“发现Heartbleed漏洞的研究人员采取了几乎相同的做法,但是按正确的顺序,首先,他们帮助人们解决问题,然后告知人们这一点。”

假设Badlock漏洞发现者不是真的想帮助管理员,Polyakov称:“事实上,管理员会浪费几个星期来进行无用的讨论和担忧。当修复程序发布时,他们将会很疲惫,并失去动力,而目前还没有解决方案或修复程序。”

信息安全咨询公司Rendition InfoSec创始人Jacob
Williams表示:“在修复程序发布前三个星期公告漏洞信息不太可能是负责任的披露,这给攻击者奠定了一个很好的基础。他们会查看该漏洞的影响,这也就表明漏洞的代码所在。”Williams非常直接地批评了Badlock披露的时间。

Badlock可能是什么,应该怎么做

该漏洞的名称Badlock被认为指向该漏洞的性质,例如安全研究人员David Litchfield在Tweet发帖称:

从其名字来看,我猜应该是在文件处理无效后无法控制的内存写入。

更多猜测则是基于该漏洞被描述为“严重漏洞”,并且,SerNet公司的公告称“攻击向量和漏洞利用在披露后将很快会出现”。有些专家总结称,这个漏洞可能允许远程代码执行;鉴于需要同时修复Windows和Samba,专家认为这个漏洞可能存在于服务器消息块(SMB)协议中。

“关注这个漏洞的大多数人担心的情况是攻击者可能发现该漏洞,然后在修复程序发布前利用该漏洞,”Thames称,“如果这个漏洞被证明是远程服务器端漏洞,可制成蠕虫攻击,这意味着可通过内置复制机制来利用该漏洞,考虑到大量使用SMB的系统,修复程序发布前出现漏洞利用可能导致严重的破坏。”

Polyakov称:“如果他们的描述是正确的,这意味着漏洞可被用来创建蠕虫病毒,例如Conficker。”

对于应该怎么做的问题,专家一致认为,关键是限制Windows和Samba风险。为了防止Samba零日漏洞被利用,首先应该确保相应的Samba/windows服务没有暴露在互联网上。

Williams称,不要允许SMB或NetBIOS在不必要的地方使用,3层网络访问控制列表和客户端防火墙也许会有所帮助。如果该漏洞变成蠕虫病毒,安全专家应该防止SMB流量离开网络,通过在边界防火墙阻止TCP端口135、139和445。

“IT部门应确保运行SMB服务的系统通过企业网络连接到互联网,除非有令人信服的业务理由,”Thames称,“如果企业有面向互联网的SMB服务,那么这些服务必须被视为最优先保护的服务。如果这确实是影响SMB服务器端的漏洞,那么,在修复程序发布后的很短时间内攻击者很可能会开发全功能的漏洞利用。”

Polyakov还建议使用网络分段来降低基于Badlock的潜在蠕虫病毒的风险,同时他指向专用VLAN。他称:“我们经常向客户推荐专用VLAN,虽然它们可能在某些环境带来初始配置变化,我们发现这些环境通常架构不好,工作站更加适合服务器。”

补丁管理也很重要,特别是在修复程序发布的数天前。Williams建议IT专业人员安排足够的时间来测试和安装修复程序,重视测试。糟糕的修复程序可能导致蓝屏,同时,不要忘记你可能需要不止一次的修复。

作者:Peter Loshin

来源:51CTO

时间: 2024-07-30 19:17:44

Badlock漏洞影响Samba、Windows引争议的相关文章

Badlock漏洞影响Samba、Windows 引争议

被称为Badlock的新漏洞引发专家漏洞披露的争论.对Windows和Samba中这个关键安全漏洞的修复今日才发布,而有关该漏洞的新闻三周前就被公布了,由德国安全咨询公司SerNet公布. 该漏洞由SerNet公司Samba长期开发人员Stefan Metzmacher发现,根据SerNet的公告,Badlock是影响几乎所有版本windows和Samba的严重漏洞. 对Windows和Samba 4.4.4.3和4.2版本的修复程序今日发布:而同样受到该漏洞影响的Samba 4.1已在3月23

Windows 曝漏洞 —— 影响所有版本

Cylance公司的信息安全专家与卡内基梅隆大学的CERT研究团队合作,声称发现了一个长期影响所有Windows版本 的僵尸漏洞,在最新的Windows 10技术预览版也有包含.该僵尸漏洞根据可追溯至1997年,由Aaron Spangler发现的漏洞衍生而来,这项被称作"Redirect to SMB"(重定向到SMB协议)的安全隐患将使得攻击者有机会劫持用户的敏感信息,而整个攻击过程只需用户点击一个链接即可完成. Cylance还表示该漏洞也可被任何Windows应用通过"

Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子

从 windows 2000 到 windows 10 的最新版本, 所有操作系统的 PsSetLoadImageNotifyRoutine 中都发现了 Microsoft 内核漏洞.漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,如果这个API出现问题,防病毒软件就成了瞎子. 问题出在Windows回调机制PsSetLoadImageNotifyRoutine Microsoft 在 Windows 2000 中启动了 PsSetLoa

微软修复打印机服务漏洞 所有支持Windows系统都受影响

在本月的补丁星期二活动日中,在常规安全公告中涵盖一项Windows Print Spooler组件系统的漏洞,Windows Vista及更高版本都受影响可能会导致某些安全问题. 根据微软安全公告MS16-087: 该安全更新涉及目前所有支持Windows系统,安全等级为"关键".如果想要获得更为详细的信息,请查阅Affected Software and Vulnerability Severity Ratings部分. 该更新修复如下漏洞: 纠正Windows Print Spoo

微软发现零日漏洞影响全系列Windows

北京时间1月29日上午消息,微软周五表示,正在对新发现的一个零日漏洞进行调查,该漏洞影响Windows XP.Vista和Windows 7,以及所有受支持的Windows Server系统. 这一漏洞与MHTML编译相关,可能允许攻击者运行外部代码. 微软表示,目前尚未看到活跃使用这一漏洞进行攻击的现象.微软正在对该漏洞进行调查,并开发一款安全补丁以解决这一问题. 微软已经给出了暂时的安全防护方案,建议用户在微软Fixit中采取措施锁定MHTML协议.(张和)

“Redirect to SMB”漏洞影响所有版本的Windows

新的"Redirect to SMB(重定向到SMB协议)"漏洞是18年前发现的一个漏洞的变种,可导致所有版本的Windows遭受中间人攻击. 最新发现,一个旧漏洞的新变种影响着所有版本的Windows,并可能导致中间人攻击. Cylance 安全公司SPEAR团队的高级研究人员Brian Wallace在博客文章中介绍了被称为"Redirect to SMB"的漏洞,据说该漏洞影响着所有版本的Windows,以及来自Adobe Systems.苹果.Box.微软.

MHTML中曝出0day漏洞 影响各版Windows

微软昨日证实,他们正在调查一个新的0day漏洞,该漏洞存在于MHTML中,会导致信息泄露,影响所有Windows平台,包括Windows XP.Vista.Windows 7和所有版本的Windows Server. 该漏洞是由于MHTML解析文档中内容模块的MINE格式请求的方式所造成的,该漏洞可以允许攻击者在错误的安全上下文中执行脚本.成功利用该漏洞的攻击者能在用户的IE实例中注入客户端脚本,该脚本会导致内容欺诈.信息泄露或采取其它任何行动. 微软表示,网上已经出现了利用该漏洞进行攻击的代码

苹果“补税案”引争议 欧美经贸关系蒙阴影

爱尔兰议会众议院7日晚通过动议,支持爱尔兰政府就欧盟委员会(欧委会)苹果"补税案"进行上诉.这起风波的源头,是欧委会裁定爱尔兰政府对苹果公司的税收政策违反欧盟补贴规定,苹果需补交最高达130亿欧元(约145亿美元)的税款及利息. 苹果"补税案"不是孤例.欧盟对成员国反垄断.非法国家补贴的调查案件涉及谷歌.亚马逊.微软.脸谱等多家美国科技巨头.在欧美<跨大西洋贸易与投资伙伴关系协定>(TTIP)谈判进展不利的当下,欧盟和成员国在这类案件上的"争执

阿里助政府办案引争议 大数据未来在哪?

文章讲的是阿里助政府办案引争议 大数据未来在哪,政府大数据.金融大数据.教育大数据等热词虽一次次被提起,大数据的价值也十分被认可,但其实际的应用的典型案例并未被曝光多少,很多人对大数据的实际应用形式并不了解.然而近日,浙江省高级人民法院与阿里巴巴在大数据方面达成了合作协议,聚焦阿里旗下淘宝.阿里云和蚂蚁金服在云计算.大数据和用户方面的资源优势,帮助浙江高院构建司法领域的大数据服务体系. 双方合作的方式是,利用浙江省各级法院丰富的案例资源,结合互联网大数据的优势和阿里巴巴的多维度分析.数据可视化.