被稱(chēng)為Badlock的新漏洞引發(fā)專(zhuān)家漏洞披露的爭(zhēng)論。對(duì)Windows和Samba中這個(gè)關(guān)鍵安全漏洞的修復(fù)今日才發(fā)布，而有關(guān)該漏洞的新聞三周前就被公布了，由德國(guó)安全咨詢公司SerNet公布。

該漏洞由SerNet公司Samba長(zhǎng)期開(kāi)發(fā)人員Stefan Metzmacher發(fā)現(xiàn)，根據(jù)SerNet的公告，Badlock是影響幾乎所有版本windows和Samba的嚴(yán)重漏洞。

對(duì)Windows和Samba 4.4、4.3和4.2版本的修復(fù)程序今日發(fā)布;而同樣受到該漏洞影響的Samba 4.1已在3月23日停止支持。

“這次公告的主要目標(biāo)是讓你準(zhǔn)備好盡快修復(fù)所有系統(tǒng)，讓系統(tǒng)管理員有時(shí)間及時(shí)進(jìn)行修復(fù)。”

炒作還是有效的漏洞披露?

SerNet的公告引發(fā)了針對(duì)軟件漏洞披露做法的又一次爭(zhēng)論。

“在引起大家對(duì)嚴(yán)重漏洞的關(guān)注與過(guò)度炒作之間只有一線之隔，”該網(wǎng)站指出，“這個(gè)過(guò)程已經(jīng)開(kāi)始一段時(shí)間，所有人都要開(kāi)始修復(fù)。”

對(duì)于這個(gè)公告是SerNet試圖利用Metzmacher的發(fā)現(xiàn)還是對(duì)漏洞的負(fù)責(zé)任的披露(讓管理員有足夠時(shí)間來(lái)準(zhǔn)備好安裝補(bǔ)丁程序)，專(zhuān)家持有不同意見(jiàn)。

“在漏洞報(bào)告領(lǐng)域，新的發(fā)展是找一個(gè)朗朗上口的名字和標(biāo)志，用于營(yíng)銷(xiāo)目的，”Fidelis Cybersecurity公司威脅系統(tǒng)經(jīng)理John Bambenek表示，“在這個(gè)情況中，所涉及的人們似乎是Samba核心團(tuán)隊(duì)的一部分，所以他們是‘自己人’，他們的動(dòng)機(jī)似乎是引起關(guān)注，發(fā)布補(bǔ)丁。”

雖然這可能是為了營(yíng)銷(xiāo)，但有些評(píng)論家認(rèn)為這個(gè)公告具有威脅性，因?yàn)檫@可能給惡意研究者足夠的時(shí)間來(lái)尋找漏洞，并在補(bǔ)丁發(fā)布前利用漏洞。

是否是負(fù)責(zé)任的披露?

對(duì)于Badlock是否是負(fù)責(zé)任的披露，專(zhuān)家也持不同意見(jiàn)。

Bambenek表示：“總的來(lái)看，這似乎是一個(gè)負(fù)責(zé)任的披露。”盡管攻擊者可能會(huì)尋找漏洞以及利用漏洞的方法，但他表示這個(gè)風(fēng)險(xiǎn)應(yīng)該被考慮到，還應(yīng)考慮到需要作出修復(fù)決策的防御者的利益。他們需要在補(bǔ)丁發(fā)布到Windows Update之前獲取有關(guān)這個(gè)漏洞的信息。

他認(rèn)為攻擊者在補(bǔ)丁發(fā)布前發(fā)現(xiàn)該漏洞的風(fēng)險(xiǎn)很低，但如果真的發(fā)生，微軟和Samba至少提前知道這個(gè)漏洞是什么，他們可以利用備用的緩解措施。

Tripwire公司安全研究人員Lane Thames表示：“早期Badlock公告處于負(fù)責(zé)任的漏洞披露的邊緣。對(duì)于非常了解這個(gè)軟件系列以及底層協(xié)議的攻擊者來(lái)說(shuō)，已經(jīng)有足夠的信息讓他們可以找到漏洞代碼。”

然而，并不是所有人都認(rèn)為Badlock是負(fù)責(zé)任的披露。

“我個(gè)人不認(rèn)為這是一個(gè)好辦法，安全意識(shí)很重要，但你不應(yīng)該只是讓人們意識(shí)到這個(gè)問(wèn)題，還應(yīng)該提供解決方案，”應(yīng)用安全公司ERPScan首席技術(shù)官Alexander Polyakov表示，“發(fā)現(xiàn)Heartbleed漏洞的研究人員采取了幾乎相同的做法，但是按正確的順序，首先，他們幫助人們解決問(wèn)題，然后告知人們這一點(diǎn)。”

假設(shè)Badlock漏洞發(fā)現(xiàn)者不是真的想幫助管理員，Polyakov稱(chēng)：“事實(shí)上，管理員會(huì)浪費(fèi)幾個(gè)星期來(lái)進(jìn)行無(wú)用的討論和擔(dān)憂。當(dāng)修復(fù)程序發(fā)布時(shí)，他們將會(huì)很疲憊，并失去動(dòng)力，而目前還沒(méi)有解決方案或修復(fù)程序。”

信息安全咨詢公司Rendition InfoSec創(chuàng)始人Jacob Williams表示：“在修復(fù)程序發(fā)布前三個(gè)星期公告漏洞信息不太可能是負(fù)責(zé)任的披露，這給攻擊者奠定了一個(gè)很好的基礎(chǔ)。他們會(huì)查看該漏洞的影響，這也就表明漏洞的代碼所在。”Williams非常直接地批評(píng)了Badlock披露的時(shí)間。

Badlock可能是什么，應(yīng)該怎么做

該漏洞的名稱(chēng)Badlock被認(rèn)為指向該漏洞的性質(zhì)，例如安全研究人員David Litchfield在Tweet發(fā)帖稱(chēng)：

從其名字來(lái)看，我猜應(yīng)該是在文件處理無(wú)效后無(wú)法控制的內(nèi)存寫(xiě)入。

更多猜測(cè)則是基于該漏洞被描述為“嚴(yán)重漏洞”，并且，SerNet公司的公告稱(chēng)“攻擊向量和漏洞利用在披露后將很快會(huì)出現(xiàn)”。有些專(zhuān)家總結(jié)稱(chēng)，這個(gè)漏洞可能允許遠(yuǎn)程代碼執(zhí)行;鑒于需要同時(shí)修復(fù)Windows和Samba，專(zhuān)家認(rèn)為這個(gè)漏洞可能存在于服務(wù)器消息塊(SMB)協(xié)議中。

“關(guān)注這個(gè)漏洞的大多數(shù)人擔(dān)心的情況是攻擊者可能發(fā)現(xiàn)該漏洞，然后在修復(fù)程序發(fā)布前利用該漏洞，”Thames稱(chēng)，“如果這個(gè)漏洞被證明是遠(yuǎn)程服務(wù)器端漏洞，可制成蠕蟲(chóng)攻擊，這意味著可通過(guò)內(nèi)置復(fù)制機(jī)制來(lái)利用該漏洞，考慮到大量使用SMB的系統(tǒng)，修復(fù)程序發(fā)布前出現(xiàn)漏洞利用可能導(dǎo)致嚴(yán)重的破壞。”

Polyakov稱(chēng)：“如果他們的描述是正確的，這意味著漏洞可被用來(lái)創(chuàng)建蠕蟲(chóng)病毒，例如Conficker。”

對(duì)于應(yīng)該怎么做的問(wèn)題，專(zhuān)家一致認(rèn)為，關(guān)鍵是限制Windows和Samba風(fēng)險(xiǎn)。為了防止Samba零日漏洞被利用，首先應(yīng)該確保相應(yīng)的Samba/windows服務(wù)沒(méi)有暴露在互聯(lián)網(wǎng)上。

Williams稱(chēng)，不要允許SMB或NetBIOS在不必要的地方使用，3層網(wǎng)絡(luò)訪問(wèn)控制列表和客戶端防火墻也許會(huì)有所幫助。如果該漏洞變成蠕蟲(chóng)病毒，安全專(zhuān)家應(yīng)該防止SMB流量離開(kāi)網(wǎng)絡(luò)，通過(guò)在邊界防火墻阻止TCP端口135、139和445。

“IT部門(mén)應(yīng)確保運(yùn)行SMB服務(wù)的系統(tǒng)通過(guò)企業(yè)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)，除非有令人信服的業(yè)務(wù)理由，”Thames稱(chēng)，“如果企業(yè)有面向互聯(lián)網(wǎng)的SMB服務(wù)，那么這些服務(wù)必須被視為最優(yōu)先保護(hù)的服務(wù)。如果這確實(shí)是影響SMB服務(wù)器端的漏洞，那么，在修復(fù)程序發(fā)布后的很短時(shí)間內(nèi)攻擊者很可能會(huì)開(kāi)發(fā)全功能的漏洞利用。”

Polyakov還建議使用網(wǎng)絡(luò)分段來(lái)降低基于Badlock的潛在蠕蟲(chóng)病毒的風(fēng)險(xiǎn)，同時(shí)他指向?qū)Ｓ肰LAN。他稱(chēng)：“我們經(jīng)常向客戶推薦專(zhuān)用VLAN，雖然它們可能在某些環(huán)境帶來(lái)初始配置變化，我們發(fā)現(xiàn)這些環(huán)境通常架構(gòu)不好，工作站更加適合服務(wù)器。”

補(bǔ)丁管理也很重要，特別是在修復(fù)程序發(fā)布的數(shù)天前。Williams建議IT專(zhuān)業(yè)人員安排足夠的時(shí)間來(lái)測(cè)試和安裝修復(fù)程序，重視測(cè)試。糟糕的修復(fù)程序可能導(dǎo)致藍(lán)屏，同時(shí)，不要忘記你可能需要不止一次的修復(fù)。