被稱為Badlock的新漏洞引發專家漏洞披露的爭論。對Windows和Samba中這個關鍵安全漏洞的修復今日才發布,而有關該漏洞的新聞三周前就被公布了,由德國安全咨詢公司SerNet公布。
該漏洞由SerNet公司Samba長期開發人員Stefan Metzmacher發現,根據SerNet的公告,Badlock是影響幾乎所有版本windows和Samba的嚴重漏洞。
對Windows和Samba 4.4、4.3和4.2版本的修復程序今日發布;而同樣受到該漏洞影響的Samba 4.1已在3月23日停止支持。
“這次公告的主要目標是讓你準備好盡快修復所有系統,讓系統管理員有時間及時進行修復。”
炒作還是有效的漏洞披露?
SerNet的公告引發了針對軟件漏洞披露做法的又一次爭論。
“在引起大家對嚴重漏洞的關注與過度炒作之間只有一線之隔,”該網站指出,“這個過程已經開始一段時間,所有人都要開始修復。”
對于這個公告是SerNet試圖利用Metzmacher的發現還是對漏洞的負責任的披露(讓管理員有足夠時間來準備好安裝補丁程序),專家持有不同意見。
“在漏洞報告領域,新的發展是找一個朗朗上口的名字和標志,用于營銷目的,”Fidelis Cybersecurity公司威脅系統經理John Bambenek表示,“在這個情況中,所涉及的人們似乎是Samba核心團隊的一部分,所以他們是‘自己人’,他們的動機似乎是引起關注,發布補丁。”
雖然這可能是為了營銷,但有些評論家認為這個公告具有威脅性,因為這可能給惡意研究者足夠的時間來尋找漏洞,并在補丁發布前利用漏洞。
是否是負責任的披露?
對于Badlock是否是負責任的披露,專家也持不同意見。
Bambenek表示:“總的來看,這似乎是一個負責任的披露。”盡管攻擊者可能會尋找漏洞以及利用漏洞的方法,但他表示這個風險應該被考慮到,還應考慮到需要作出修復決策的防御者的利益。他們需要在補丁發布到Windows Update之前獲取有關這個漏洞的信息。
他認為攻擊者在補丁發布前發現該漏洞的風險很低,但如果真的發生,微軟和Samba至少提前知道這個漏洞是什么,他們可以利用備用的緩解措施。
Tripwire公司安全研究人員Lane Thames表示:“早期Badlock公告處于負責任的漏洞披露的邊緣。對于非常了解這個軟件系列以及底層協議的攻擊者來說,已經有足夠的信息讓他們可以找到漏洞代碼。”
然而,并不是所有人都認為Badlock是負責任的披露。
“我個人不認為這是一個好辦法,安全意識很重要,但你不應該只是讓人們意識到這個問題,還應該提供解決方案,”應用安全公司ERPScan首席技術官Alexander Polyakov表示,“發現Heartbleed漏洞的研究人員采取了幾乎相同的做法,但是按正確的順序,首先,他們幫助人們解決問題,然后告知人們這一點。”
假設Badlock漏洞發現者不是真的想幫助管理員,Polyakov稱:“事實上,管理員會浪費幾個星期來進行無用的討論和擔憂。當修復程序發布時,他們將會很疲憊,并失去動力,而目前還沒有解決方案或修復程序。”
信息安全咨詢公司Rendition InfoSec創始人Jacob Williams表示:“在修復程序發布前三個星期公告漏洞信息不太可能是負責任的披露,這給攻擊者奠定了一個很好的基礎。他們會查看該漏洞的影響,這也就表明漏洞的代碼所在。”Williams非常直接地批評了Badlock披露的時間。
Badlock可能是什么,應該怎么做
該漏洞的名稱Badlock被認為指向該漏洞的性質,例如安全研究人員David Litchfield在Tweet發帖稱:
從其名字來看,我猜應該是在文件處理無效后無法控制的內存寫入。
更多猜測則是基于該漏洞被描述為“嚴重漏洞”,并且,SerNet公司的公告稱“攻擊向量和漏洞利用在披露后將很快會出現”。有些專家總結稱,這個漏洞可能允許遠程代碼執行;鑒于需要同時修復Windows和Samba,專家認為這個漏洞可能存在于服務器消息塊(SMB)協議中。
“關注這個漏洞的大多數人擔心的情況是攻擊者可能發現該漏洞,然后在修復程序發布前利用該漏洞,”Thames稱,“如果這個漏洞被證明是遠程服務器端漏洞,可制成蠕蟲攻擊,這意味著可通過內置復制機制來利用該漏洞,考慮到大量使用SMB的系統,修復程序發布前出現漏洞利用可能導致嚴重的破壞。”
Polyakov稱:“如果他們的描述是正確的,這意味著漏洞可被用來創建蠕蟲病毒,例如Conficker。”
對于應該怎么做的問題,專家一致認為,關鍵是限制Windows和Samba風險。為了防止Samba零日漏洞被利用,首先應該確保相應的Samba/windows服務沒有暴露在互聯網上。
Williams稱,不要允許SMB或NetBIOS在不必要的地方使用,3層網絡訪問控制列表和客戶端防火墻也許會有所幫助。如果該漏洞變成蠕蟲病毒,安全專家應該防止SMB流量離開網絡,通過在邊界防火墻阻止TCP端口135、139和445。
“IT部門應確保運行SMB服務的系統通過企業網絡連接到互聯網,除非有令人信服的業務理由,”Thames稱,“如果企業有面向互聯網的SMB服務,那么這些服務必須被視為最優先保護的服務。如果這確實是影響SMB服務器端的漏洞,那么,在修復程序發布后的很短時間內攻擊者很可能會開發全功能的漏洞利用。”
Polyakov還建議使用網絡分段來降低基于Badlock的潛在蠕蟲病毒的風險,同時他指向專用VLAN。他稱:“我們經常向客戶推薦專用VLAN,雖然它們可能在某些環境帶來初始配置變化,我們發現這些環境通常架構不好,工作站更加適合服務器。”
補丁管理也很重要,特別是在修復程序發布的數天前。Williams建議IT專業人員安排足夠的時間來測試和安裝修復程序,重視測試。糟糕的修復程序可能導致藍屏,同時,不要忘記你可能需要不止一次的修復。
京公網安備 11010502049343號