新的“Redirect to SMB(重定向到SMB協(xié)議)”漏洞是18年前發(fā)現(xiàn)的一個漏洞的變種，可導致所有版本的Windows遭受中間人攻擊。

最新發(fā)現(xiàn)，一個舊漏洞的新變種影響著所有版本的Windows，并可能導致中間人攻擊。

Cylance 安全公司SPEAR團隊的高級研究人員Brian Wallace在博客文章中介紹了被稱為“Redirect to SMB”的漏洞，據(jù)說該漏洞影響著所有版本的Windows，以及來自Adobe Systems、蘋果、Box、微軟、Oracle和賽門鐵克等31家公司的其他軟件。

Cylance表示，該漏洞可能被攻擊者用來執(zhí)行中間人攻擊，以及通過劫持與合法Web服務器的通信來竊取用戶登錄憑證。

Redirect to SMB是基于18年前Aaron Spangler進行的研究，它是一個舊漏洞的變種，微軟承諾在2009年修復該漏洞，但最終沒有這么做，只是發(fā)布了公告和解決方法。

原漏洞(CWE-201)最早于2008年7月被披露。攻擊者可以通過誘騙目標人員點擊鏈接來執(zhí)行攻擊，該鏈接是以file://開頭的網(wǎng)址，這可能導致操作系統(tǒng)嘗試使用服務器消息塊(SMB)協(xié)議來驗證服務器身份，并允許攻擊者讓目標機器崩潰。

Redirect to SMB攻擊對原來的方法進行了擴展，首先創(chuàng)建一個方法來將目標從HTTP服務器重定向到SMB服務器，然后允許通過HTTP/HTTPS傳輸憑證數(shù)據(jù)。 Wallace稱，Cylance發(fā)現(xiàn)四個常用Windows API功能會允許從HTTP/HTTPS到SMB的重定向，這意味著該漏洞也會影響其他軟件，包括Adobe Reader、Apple iTunes和IE等常用應用;針對Windows的GitHub等開發(fā)者工具;甚至還有賽門鐵克的Norton Security Scan等殺毒軟件。

Wallace表示，該漏洞最有可能被高級攻擊者用于有針對性的攻擊，因為攻擊者需要控制受害者網(wǎng)絡流量的某些組件。然而，Wallace也指出，攻擊者可能通過惡意廣告或通過共享Wi-Fi接入點來執(zhí)行攻擊。

Wallace稱，最佳防御方法是阻止TCP端口139和445的出站流量，無論是在終端還是在網(wǎng)絡網(wǎng)關(guān)。但Wallace警告說，阻止TCP 139將阻止所有SMB通信，這可能禁用其他依賴SMB的功能。

微軟還沒有為該漏洞發(fā)布補丁，但該公司發(fā)言人提到了2009年的安全指導意見，這表明應采用相同的TCP阻止辦法。

微軟還指出，身份驗證擴展包括(Extended Protection for Authentication)等Windows功能可加強用于處理網(wǎng)絡連接登錄憑證的現(xiàn)有防御措施，以幫助緩解威脅。