MS11-019与MS11-020:四月SMB更新
本月我们发布了针对SMB客户端和服务器组件的更新(分别为MS11-019和MS11-020)。这些公告解决了三个外部报告的问题,同时还包括微软内部发现的多个问题的修复。本文提供这些问题的背景信息,以及微软内部为提升SMB安全性所做的工作。
发现并修复额外的安全漏洞是我们标准安全更新流程的一部分,详细内容可通过以下链接查看之前的博客文章:http://blogs.technet.com/b/srd/archive/2011/02/14/additional-fixes-in-microsoft-security-bulletins.aspx
为提升安全态势,微软的Windows、Windows持续工程和TWC安全团队在过去一年中致力于识别改进SMB更新的新方法。通常,SMB更新侧重于发现外部报告问题的变体(“变体黑客攻击”),以确保全面的安全公告,避免客户在更新被攻击者逆向工程后面临风险。为提高本月SMB更新的有效性,微软采用了更广泛的范围来识别变体,并增加了投入更新的时间和资源。
导致范围扩大的原因是什么?
过去两年中,SMB一直是安全研究人员的攻击目标,微软在报告新问题时发布了多个安全更新。作为每个先前更新的一部分,我们遵循了标准的“变体黑客攻击”方法,但由于需要尽快解决报告的问题,时间表更为紧张。
很明显,即使没有额外的问题报告,我们在内部安全测试、代码审计和设计审查方面仍有改进空间。因此,我们启动了一个长期项目,以识别SMB代码中的额外安全问题,并计划在未来的安全公告中发布修复。这一“SMB安全清理”项目导致了四月公告中包含的修复。
做了哪些工作?
以下举措是SMB安全清理的一部分:
- 改进我们的模糊测试工具、测试场景和测试工具。我们对所有支持的Windows版本进行了数月的模糊测试;
- 审查代码和协议覆盖范围,以识别被遗漏的区域;
- 审查安全代码,以发现通过模糊测试发现的新问题或问题变体;
- 基于先前的安全问题和代码审查期间识别的新问题,进行有针对性的模糊测试和模糊测试工具更改;以及
- 执行静态代码分析。
最终结果是每个Windows版本的源代码更改超过1000行。
鉴于微软致力于改善客户的安全态势,这一新方法将继续进行,并且从这项持续研究中识别出的改进工具和流程将应用于未来的SMB安全更新和新版本的Windows。
额外问题是否影响公告严重性或部署优先级?
基于外部报告的问题,SMB服务器和客户端公告的严重性已经是“严重”。因此,内部发现的问题不会导致公告严重性增加。严重性、影响和攻击场景由公告中描述的外部报告问题覆盖,因此这些问题不会影响部署优先级。
最后,我要感谢微软所有参与这些SMB更新工作的同事们的辛勤付出!
- Mark Wodrich, MSRC Engineering