MS09-050：SMB2 RCE漏洞利用时间线

本月我们发布了MS09-050更新，以解决SMBv2 RCE漏洞（CVE-2009-3103）。由于该漏洞已存在公开利用代码，我们认为在发布时总结利用情况对客户优先部署更新非常有帮助。

初始披露

2009年9月7日首次公开披露该漏洞时包含了概念验证代码，会导致目标系统重启造成拒绝服务（DoS）。微软立即开始分析漏洞并制作高质量更新。早期阶段我们就意识到该漏洞存在远程代码执行（RCE）威胁，因此发布了安全公告通知客户风险，并建议临时解决方案（禁用SMB2）以在正式更新前保护系统。

一周后的9月14日，某安全公司发布了本地利用的概念验证代码。9月17日，同一公司发布了远程利用的概念验证代码。该安全公司仅向其订阅"早期更新"服务的部分客户提供了本地和远程利用代码。我将其称为"商业利用"。

微软分析了商业利用代码以评估客户风险和其他安全研究人员实现有效利用的可能性。分析表明该利用代码可靠，但主动利用风险较低（由于有限发布）。我们继续测试更新，力求在达到可接受质量水平后尽快发布，除非利用情况发生变化。

同时我们了解到安全社区的其他研究人员正在开发远程利用，并计划将其纳入免费可用工具。9月28日，首个公开利用代码发布。我们再次分析利用代码评估客户风险，确定该利用在所有系统上不可靠，仅在有限配置下有效。

10月4日，一篇博客文章概述了改进公开利用代码可靠性的修改，但未提供具体代码变更细节。文章提供了足够技术细节，我们预计公开利用代码很快会更新，几天后就在网上看到了更新版本。几乎同时，商业利用代码也向该安全公司的更广泛客户群发布。

微软分析了最新公开利用代码，确定其仍不可靠（在我们的测试中完全不可用）。我们预计随着更多人获得商业利用代码和更多人研究公开利用，两者之间的差距将迅速缩小。

目前没有针对运行64位Windows的64位系统的有效RCE利用。当前商业和公开利用工具仅对32位Windows系统有效，开发针对64位Windows的可靠利用应非常困难。但64位SMB服务器仍面临使用该漏洞的DoS攻击风险。

32位系统尚无广泛可用的可靠远程利用，当前系统遭受广泛攻击的风险较低。但这种情况可能随时改变。我们建议用户快速为32位SMB服务器部署此更新，因为我们预计可靠利用将在更新发布后30天内发布（更现实的是第一周内）。64位SMB服务器的更新可主要基于DoS攻击风险确定优先级。

感谢Windows SMB和Windows可维护性团队在此更新上的辛勤工作，感谢Jonathan Ness和Bruce Dang提供的SMBv2临时解决方案和"Fix-It"自动化工具，以及Brian Cavenah和Ken Johnson的技术建议和利用分析帮助。