被稱為Badlock的新漏洞引發(fā)專家漏洞披露的爭(zhēng)論�����。對(duì)Windows和Samba中這個(gè)關(guān)鍵安全漏洞的修復(fù)今日才發(fā)布����,而有關(guān)該漏洞的新聞三周前就被公布了�,由德國(guó)安全咨詢公司SerNet公布。
該漏洞由SerNet公司Samba長(zhǎng)期開發(fā)人員Stefan Metzmacher發(fā)現(xiàn)�,根據(jù)SerNet的公告,Badlock是影響幾乎所有版本windows和Samba的嚴(yán)重漏洞�。
對(duì)Windows和Samba 4.4、4.3和4.2版本的修復(fù)程序今日發(fā)布;而同樣受到該漏洞影響的Samba 4.1已在3月23日停止支持�����。
“這次公告的主要目標(biāo)是讓你準(zhǔn)備好盡快修復(fù)所有系統(tǒng)��,讓系統(tǒng)管理員有時(shí)間及時(shí)進(jìn)行修復(fù)��。”
炒作還是有效的漏洞披露?
SerNet的公告引發(fā)了針對(duì)軟件漏洞披露做法的又一次爭(zhēng)論���。
“在引起大家對(duì)嚴(yán)重漏洞的關(guān)注與過度炒作之間只有一線之隔��,”該網(wǎng)站指出�����,“這個(gè)過程已經(jīng)開始一段時(shí)間�����,所有人都要開始修復(fù)���。”
對(duì)于這個(gè)公告是SerNet試圖利用Metzmacher的發(fā)現(xiàn)還是對(duì)漏洞的負(fù)責(zé)任的披露(讓管理員有足夠時(shí)間來準(zhǔn)備好安裝補(bǔ)丁程序),專家持有不同意見�����。
“在漏洞報(bào)告領(lǐng)域�����,新的發(fā)展是找一個(gè)朗朗上口的名字和標(biāo)志�,用于營(yíng)銷目的,”Fidelis Cybersecurity公司威脅系統(tǒng)經(jīng)理John Bambenek表示�����,“在這個(gè)情況中,所涉及的人們似乎是Samba核心團(tuán)隊(duì)的一部分�����,所以他們是‘自己人’�����,他們的動(dòng)機(jī)似乎是引起關(guān)注����,發(fā)布補(bǔ)丁。”
雖然這可能是為了營(yíng)銷���,但有些評(píng)論家認(rèn)為這個(gè)公告具有威脅性�,因?yàn)檫@可能給惡意研究者足夠的時(shí)間來尋找漏洞����,并在補(bǔ)丁發(fā)布前利用漏洞。
是否是負(fù)責(zé)任的披露?
對(duì)于Badlock是否是負(fù)責(zé)任的披露���,專家也持不同意見�����。
Bambenek表示:“總的來看����,這似乎是一個(gè)負(fù)責(zé)任的披露���。”盡管攻擊者可能會(huì)尋找漏洞以及利用漏洞的方法�����,但他表示這個(gè)風(fēng)險(xiǎn)應(yīng)該被考慮到��,還應(yīng)考慮到需要作出修復(fù)決策的防御者的利益��。他們需要在補(bǔ)丁發(fā)布到Windows Update之前獲取有關(guān)這個(gè)漏洞的信息�����。
他認(rèn)為攻擊者在補(bǔ)丁發(fā)布前發(fā)現(xiàn)該漏洞的風(fēng)險(xiǎn)很低��,但如果真的發(fā)生�,微軟和Samba至少提前知道這個(gè)漏洞是什么�,他們可以利用備用的緩解措施。
Tripwire公司安全研究人員Lane Thames表示:“早期Badlock公告處于負(fù)責(zé)任的漏洞披露的邊緣��。對(duì)于非常了解這個(gè)軟件系列以及底層協(xié)議的攻擊者來說,已經(jīng)有足夠的信息讓他們可以找到漏洞代碼��。”
然而�����,并不是所有人都認(rèn)為Badlock是負(fù)責(zé)任的披露�。
“我個(gè)人不認(rèn)為這是一個(gè)好辦法,安全意識(shí)很重要��,但你不應(yīng)該只是讓人們意識(shí)到這個(gè)問題����,還應(yīng)該提供解決方案,”應(yīng)用安全公司ERPScan首席技術(shù)官Alexander Polyakov表示�,“發(fā)現(xiàn)Heartbleed漏洞的研究人員采取了幾乎相同的做法,但是按正確的順序����,首先,他們幫助人們解決問題����,然后告知人們這一點(diǎn)。”
假設(shè)Badlock漏洞發(fā)現(xiàn)者不是真的想幫助管理員����,Polyakov稱:“事實(shí)上�����,管理員會(huì)浪費(fèi)幾個(gè)星期來進(jìn)行無用的討論和擔(dān)憂����。當(dāng)修復(fù)程序發(fā)布時(shí)��,他們將會(huì)很疲憊����,并失去動(dòng)力�����,而目前還沒有解決方案或修復(fù)程序�����。”
信息安全咨詢公司Rendition InfoSec創(chuàng)始人Jacob Williams表示:“在修復(fù)程序發(fā)布前三個(gè)星期公告漏洞信息不太可能是負(fù)責(zé)任的披露���,這給攻擊者奠定了一個(gè)很好的基礎(chǔ)����。他們會(huì)查看該漏洞的影響,這也就表明漏洞的代碼所在����。”Williams非常直接地批評(píng)了Badlock披露的時(shí)間。
Badlock可能是什么��,應(yīng)該怎么做
該漏洞的名稱Badlock被認(rèn)為指向該漏洞的性質(zhì)���,例如安全研究人員David Litchfield在Tweet發(fā)帖稱:
從其名字來看��,我猜應(yīng)該是在文件處理無效后無法控制的內(nèi)存寫入����。
更多猜測(cè)則是基于該漏洞被描述為“嚴(yán)重漏洞”����,并且,SerNet公司的公告稱“攻擊向量和漏洞利用在披露后將很快會(huì)出現(xiàn)”�。有些專家總結(jié)稱,這個(gè)漏洞可能允許遠(yuǎn)程代碼執(zhí)行;鑒于需要同時(shí)修復(fù)Windows和Samba�,專家認(rèn)為這個(gè)漏洞可能存在于服務(wù)器消息塊(SMB)協(xié)議中。
“關(guān)注這個(gè)漏洞的大多數(shù)人擔(dān)心的情況是攻擊者可能發(fā)現(xiàn)該漏洞,然后在修復(fù)程序發(fā)布前利用該漏洞���,”Thames稱�,“如果這個(gè)漏洞被證明是遠(yuǎn)程服務(wù)器端漏洞�,可制成蠕蟲攻擊,這意味著可通過內(nèi)置復(fù)制機(jī)制來利用該漏洞�����,考慮到大量使用SMB的系統(tǒng)�����,修復(fù)程序發(fā)布前出現(xiàn)漏洞利用可能導(dǎo)致嚴(yán)重的破壞���。”
Polyakov稱:“如果他們的描述是正確的,這意味著漏洞可被用來創(chuàng)建蠕蟲病毒��,例如Conficker�。”
對(duì)于應(yīng)該怎么做的問題,專家一致認(rèn)為�����,關(guān)鍵是限制Windows和Samba風(fēng)險(xiǎn)����。為了防止Samba零日漏洞被利用�,首先應(yīng)該確保相應(yīng)的Samba/windows服務(wù)沒有暴露在互聯(lián)網(wǎng)上��。
Williams稱�,不要允許SMB或NetBIOS在不必要的地方使用,3層網(wǎng)絡(luò)訪問控制列表和客戶端防火墻也許會(huì)有所幫助�����。如果該漏洞變成蠕蟲病毒���,安全專家應(yīng)該防止SMB流量離開網(wǎng)絡(luò)�,通過在邊界防火墻阻止TCP端口135�����、139和445�。
“IT部門應(yīng)確保運(yùn)行SMB服務(wù)的系統(tǒng)通過企業(yè)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng),除非有令人信服的業(yè)務(wù)理由�����,”Thames稱,“如果企業(yè)有面向互聯(lián)網(wǎng)的SMB服務(wù)��,那么這些服務(wù)必須被視為最優(yōu)先保護(hù)的服務(wù)��。如果這確實(shí)是影響SMB服務(wù)器端的漏洞�,那么,在修復(fù)程序發(fā)布后的很短時(shí)間內(nèi)攻擊者很可能會(huì)開發(fā)全功能的漏洞利用�����。”
Polyakov還建議使用網(wǎng)絡(luò)分段來降低基于Badlock的潛在蠕蟲病毒的風(fēng)險(xiǎn)�,同時(shí)他指向?qū)S?/span>VLAN。他稱:“我們經(jīng)常向客戶推薦專用VLAN�����,雖然它們可能在某些環(huán)境帶來初始配置變化��,我們發(fā)現(xiàn)這些環(huán)境通常架構(gòu)不好��,工作站更加適合服務(wù)器��。”
補(bǔ)丁管理也很重要�,特別是在修復(fù)程序發(fā)布的數(shù)天前�。Williams建議IT專業(yè)人員安排足夠的時(shí)間來測(cè)試和安裝修復(fù)程序,重視測(cè)試。糟糕的修復(fù)程序可能導(dǎo)致藍(lán)屏�����,同時(shí)�����,不要忘記你可能需要不止一次的修復(fù)���。
