SMB漏洞情况更新

我们想向大家通报影响Windows Vista和Windows Server 2008的新Microsoft服务器消息块版本2（SMBv2）漏洞的最新情况。

简易禁用SMBv2的方法

在安全更新发布之前，保护系统免受此漏洞影响的最佳方法是禁用SMB协议版本2的支持。安全公告昨天更新了链接，指向可禁用SMBv2并随后停止和启动服务器服务的Microsoft Fix It包。（此初始Fix It可能会提示您同时重新启动浏览器服务。）您也可以点击此处： 点击此处禁用SMBv2 要恢复此临时解决方案并重新启用SMBv2，您可以点击此处： 点击此处重新启用SMBv2 禁用SMBv2可能会减慢Windows Vista和Windows Server 2008计算机之间的SMB连接速度。

首次发布的代码执行漏洞利用

我们尚未发现任何野外利用或真实世界攻击。 然而，我们了解到Immunity Inc.开发的漏洞利用代码已发布给订阅CANVAS早期更新计划的客户。我们自己分析了该代码，并确认它可靠地针对32位Windows Vista和Windows Server 2008系统。该漏洞利用可以获得目标系统的完全控制权，并且可以由未经身份验证的用户启动。 该漏洞利用可以通过具有针对目标漏洞（CVE-2009-3103）签名的入侵检测系统（IDS）和防火墙检测到。 Immunity的此漏洞利用代码仅提供给一小部分公司和组织，他们将使用它来确定其自身网络和系统或其客户的风险。（我们知道其他团体正在积极开发漏洞利用代码，这些代码很可能在完成后公开。）

有助于防止攻击的缓解措施

有许多缓解因素可以帮助防止此类攻击：

• 企业客户可以使用简单的注册表脚本或上述Fix It禁用SMBv2。禁用SMBv2可以防止访问易受攻击的代码。
• 消费者（不属于企业网络）受到Windows Vista中包含的默认开启防火墙的保护：
  • 默认开启的Windows防火墙保护易受攻击的系统
  • 默认开启的Windows防火墙仅当用户明确共享文件夹或打印机时才允许数据包通过。
  • 当Windows Vista用户选择“公共”防火墙设置时，即使已共享文件夹或打印机，防火墙也会阻止数据包。

修复状态

即使有上述缓解措施，我们也没有放慢调查速度，并正在为所有客户提供更新。产品团队已经构建了包，并正在努力测试以确保质量。发布高质量的更新需要比您想象的更多的测试。对于此更新，产品团队到目前为止已经在回归测试中完成了超过10,000个单独的测试用例。他们现在正在进行压力测试、第三方应用程序测试和模糊测试。我们当然希望在更新需要发布之前完成所有这些测试。我们正在密切关注不断变化的情况，并根据剩余的测试行动进行平衡，以确定最佳的发布时间表，为客户提供高质量的更新。

• Mark Wodrich和Jonathan Ness，MSRC工程 发布内容“按原样”提供，不提供任何保证，也不授予任何权利。