被称为Badlock的新漏洞引发专家漏洞披露的争论。对Windows和Samba中这个关键安全漏洞的修复今日才发布,而有关该漏洞的新闻三周前就被公布了,由德国安全咨询公司SerNet公布。
该漏洞由SerNet公司Samba长期开发人员Stefan Metzmacher发现,根据SerNet的公告,Badlock是影响几乎所有版本windows和Samba的严重漏洞。
对Windows和Samba 4.4、4.3和4.2版本的修复程序今日发布;而同样受到该漏洞影响的Samba 4.1已在3月23日停止支持。
“这次公告的主要目标是让你准备好尽快修复所有系统,让系统管理员有时间及时进行修复。”
炒作还是有效的漏洞披露?
SerNet的公告引发了针对软件漏洞披露做法的又一次争论。
“在引起大家对严重漏洞的关注与过度炒作之间只有一线之隔,”该网站指出,“这个过程已经开始一段时间,所有人都要开始修复。”
对于这个公告是SerNet试图利用Metzmacher的发现还是对漏洞的负责任的披露(让管理员有足够时间来准备好安装补丁程序),专家持有不同意见。
“在漏洞报告领域,新的发展是找一个朗朗上口的名字和标志,用于营销目的,”Fidelis Cybersecurity公司威胁系统经理John Bambenek表示,“在这个情况中,所涉及的人们似乎是Samba核心团队的一部分,所以他们是‘自己人’,他们的动机似乎是引起关注,发布补丁。”
虽然这可能是为了营销,但有些评论家认为这个公告具有威胁性,因为这可能给恶意研究者足够的时间来寻找漏洞,并在补丁发布前利用漏洞。
是否是负责任的披露?
对于Badlock是否是负责任的披露,专家也持不同意见。
Bambenek表示:“总的来看,这似乎是一个负责任的披露。”尽管攻击者可能会寻找漏洞以及利用漏洞的方法,但他表示这个风险应该被考虑到,还应考虑到需要作出修复决策的防御者的利益。他们需要在补丁发布到Windows Update之前获取有关这个漏洞的信息。
他认为攻击者在补丁发布前发现该漏洞的风险很低,但如果真的发生,微软和Samba至少提前知道这个漏洞是什么,他们可以利用备用的缓解措施。
Tripwire公司安全研究人员Lane Thames表示:“早期Badlock公告处于负责任的漏洞披露的边缘。对于非常了解这个软件系列以及底层协议的攻击者来说,已经有足够的信息让他们可以找到漏洞代码。”
然而,并不是所有人都认为Badlock是负责任的披露。
“我个人不认为这是一个好办法,安全意识很重要,但你不应该只是让人们意识到这个问题,还应该提供解决方案,”应用安全公司ERPScan首席技术官Alexander Polyakov表示,“发现Heartbleed漏洞的研究人员采取了几乎相同的做法,但是按正确的顺序,首先,他们帮助人们解决问题,然后告知人们这一点。”
假设Badlock漏洞发现者不是真的想帮助管理员,Polyakov称:“事实上,管理员会浪费几个星期来进行无用的讨论和担忧。当修复程序发布时,他们将会很疲惫,并失去动力,而目前还没有解决方案或修复程序。”
信息安全咨询公司Rendition InfoSec创始人Jacob Williams表示:“在修复程序发布前三个星期公告漏洞信息不太可能是负责任的披露,这给攻击者奠定了一个很好的基础。他们会查看该漏洞的影响,这也就表明漏洞的代码所在。”Williams非常直接地批评了Badlock披露的时间。
Badlock可能是什么,应该怎么做
该漏洞的名称Badlock被认为指向该漏洞的性质,例如安全研究人员David Litchfield在Tweet发帖称:
从其名字来看,我猜应该是在文件处理无效后无法控制的内存写入。
更多猜测则是基于该漏洞被描述为“严重漏洞”,并且,SerNet公司的公告称“攻击向量和漏洞利用在披露后将很快会出现”。有些专家总结称,这个漏洞可能允许远程代码执行;鉴于需要同时修复Windows和Samba,专家认为这个漏洞可能存在于服务器消息块(SMB)协议中。
“关注这个漏洞的大多数人担心的情况是攻击者可能发现该漏洞,然后在修复程序发布前利用该漏洞,”Thames称,“如果这个漏洞被证明是远程服务器端漏洞,可制成蠕虫攻击,这意味着可通过内置复制机制来利用该漏洞,考虑到大量使用SMB的系统,修复程序发布前出现漏洞利用可能导致严重的破坏。”
Polyakov称:“如果他们的描述是正确的,这意味着漏洞可被用来创建蠕虫病毒,例如Conficker。”
对于应该怎么做的问题,专家一致认为,关键是限制Windows和Samba风险。为了防止Samba零日漏洞被利用,首先应该确保相应的Samba/windows服务没有暴露在互联网上。
Williams称,不要允许SMB或NetBIOS在不必要的地方使用,3层网络访问控制列表和客户端防火墙也许会有所帮助。如果该漏洞变成蠕虫病毒,安全专家应该防止SMB流量离开网络,通过在边界防火墙阻止TCP端口135、139和445。
“IT部门应确保运行SMB服务的系统通过企业网络连接到互联网,除非有令人信服的业务理由,”Thames称,“如果企业有面向互联网的SMB服务,那么这些服务必须被视为最优先保护的服务。如果这确实是影响SMB服务器端的漏洞,那么,在修复程序发布后的很短时间内攻击者很可能会开发全功能的漏洞利用。”
Polyakov还建议使用网络分段来降低基于Badlock的潜在蠕虫病毒的风险,同时他指向专用VLAN。他称:“我们经常向客户推荐专用VLAN,虽然它们可能在某些环境带来初始配置变化,我们发现这些环境通常架构不好,工作站更加适合服务器。”
补丁管理也很重要,特别是在修复程序发布的数天前。Williams建议IT专业人员安排足够的时间来测试和安装修复程序,重视测试。糟糕的修复程序可能导致蓝屏,同时,不要忘记你可能需要不止一次的修复。
