被稱為Badlock的新漏洞引發(fā)專家漏洞披露的爭論。對Windows和Samba中這個關(guān)鍵安全漏洞的修復(fù)今日才發(fā)布，而有關(guān)該漏洞的新聞三周前就被公布了，由德國安全咨詢公司SerNet公布。

該漏洞由SerNet公司Samba長期開發(fā)人員Stefan Metzmacher發(fā)現(xiàn)，根據(jù)SerNet的公告，Badlock是影響幾乎所有版本windows和Samba的嚴(yán)重漏洞。

對Windows和Samba 4.4、4.3和4.2版本的修復(fù)程序今日發(fā)布;而同樣受到該漏洞影響的Samba 4.1已在3月23日停止支持。

“這次公告的主要目標(biāo)是讓你準(zhǔn)備好盡快修復(fù)所有系統(tǒng)，讓系統(tǒng)管理員有時間及時進(jìn)行修復(fù)。”

炒作還是有效的漏洞披露?

SerNet的公告引發(fā)了針對軟件漏洞披露做法的又一次爭論。

“在引起大家對嚴(yán)重漏洞的關(guān)注與過度炒作之間只有一線之隔，”該網(wǎng)站指出，“這個過程已經(jīng)開始一段時間，所有人都要開始修復(fù)。”

對于這個公告是SerNet試圖利用Metzmacher的發(fā)現(xiàn)還是對漏洞的負(fù)責(zé)任的披露(讓管理員有足夠時間來準(zhǔn)備好安裝補(bǔ)丁程序)，專家持有不同意見。

“在漏洞報告領(lǐng)域，新的發(fā)展是找一個朗朗上口的名字和標(biāo)志，用于營銷目的，”Fidelis Cybersecurity公司威脅系統(tǒng)經(jīng)理John Bambenek表示，“在這個情況中，所涉及的人們似乎是Samba核心團(tuán)隊的一部分，所以他們是‘自己人’，他們的動機(jī)似乎是引起關(guān)注，發(fā)布補(bǔ)丁。”

雖然這可能是為了營銷，但有些評論家認(rèn)為這個公告具有威脅性，因為這可能給惡意研究者足夠的時間來尋找漏洞，并在補(bǔ)丁發(fā)布前利用漏洞。

是否是負(fù)責(zé)任的披露?

對于Badlock是否是負(fù)責(zé)任的披露，專家也持不同意見。

Bambenek表示：“總的來看，這似乎是一個負(fù)責(zé)任的披露。”盡管攻擊者可能會尋找漏洞以及利用漏洞的方法，但他表示這個風(fēng)險應(yīng)該被考慮到，還應(yīng)考慮到需要作出修復(fù)決策的防御者的利益。他們需要在補(bǔ)丁發(fā)布到Windows Update之前獲取有關(guān)這個漏洞的信息。

他認(rèn)為攻擊者在補(bǔ)丁發(fā)布前發(fā)現(xiàn)該漏洞的風(fēng)險很低，但如果真的發(fā)生，微軟和Samba至少提前知道這個漏洞是什么，他們可以利用備用的緩解措施。

Tripwire公司安全研究人員Lane Thames表示：“早期Badlock公告處于負(fù)責(zé)任的漏洞披露的邊緣。對于非常了解這個軟件系列以及底層協(xié)議的攻擊者來說，已經(jīng)有足夠的信息讓他們可以找到漏洞代碼。”

然而，并不是所有人都認(rèn)為Badlock是負(fù)責(zé)任的披露。

“我個人不認(rèn)為這是一個好辦法，安全意識很重要，但你不應(yīng)該只是讓人們意識到這個問題，還應(yīng)該提供解決方案，”應(yīng)用安全公司ERPScan首席技術(shù)官Alexander Polyakov表示，“發(fā)現(xiàn)Heartbleed漏洞的研究人員采取了幾乎相同的做法，但是按正確的順序，首先，他們幫助人們解決問題，然后告知人們這一點。”

假設(shè)Badlock漏洞發(fā)現(xiàn)者不是真的想幫助管理員，Polyakov稱：“事實上，管理員會浪費(fèi)幾個星期來進(jìn)行無用的討論和擔(dān)憂。當(dāng)修復(fù)程序發(fā)布時，他們將會很疲憊，并失去動力，而目前還沒有解決方案或修復(fù)程序。”

信息安全咨詢公司Rendition InfoSec創(chuàng)始人Jacob Williams表示：“在修復(fù)程序發(fā)布前三個星期公告漏洞信息不太可能是負(fù)責(zé)任的披露，這給攻擊者奠定了一個很好的基礎(chǔ)。他們會查看該漏洞的影響，這也就表明漏洞的代碼所在。”Williams非常直接地批評了Badlock披露的時間。

Badlock可能是什么，應(yīng)該怎么做

該漏洞的名稱Badlock被認(rèn)為指向該漏洞的性質(zhì)，例如安全研究人員David Litchfield在Tweet發(fā)帖稱：

從其名字來看，我猜應(yīng)該是在文件處理無效后無法控制的內(nèi)存寫入。

更多猜測則是基于該漏洞被描述為“嚴(yán)重漏洞”，并且，SerNet公司的公告稱“攻擊向量和漏洞利用在披露后將很快會出現(xiàn)”。有些專家總結(jié)稱，這個漏洞可能允許遠(yuǎn)程代碼執(zhí)行;鑒于需要同時修復(fù)Windows和Samba，專家認(rèn)為這個漏洞可能存在于服務(wù)器消息塊(SMB)協(xié)議中。

“關(guān)注這個漏洞的大多數(shù)人擔(dān)心的情況是攻擊者可能發(fā)現(xiàn)該漏洞，然后在修復(fù)程序發(fā)布前利用該漏洞，”Thames稱，“如果這個漏洞被證明是遠(yuǎn)程服務(wù)器端漏洞，可制成蠕蟲攻擊，這意味著可通過內(nèi)置復(fù)制機(jī)制來利用該漏洞，考慮到大量使用SMB的系統(tǒng)，修復(fù)程序發(fā)布前出現(xiàn)漏洞利用可能導(dǎo)致嚴(yán)重的破壞。”

Polyakov稱：“如果他們的描述是正確的，這意味著漏洞可被用來創(chuàng)建蠕蟲病毒，例如Conficker。”

對于應(yīng)該怎么做的問題，專家一致認(rèn)為，關(guān)鍵是限制Windows和Samba風(fēng)險。為了防止Samba零日漏洞被利用，首先應(yīng)該確保相應(yīng)的Samba/windows服務(wù)沒有暴露在互聯(lián)網(wǎng)上。

Williams稱，不要允許SMB或NetBIOS在不必要的地方使用，3層網(wǎng)絡(luò)訪問控制列表和客戶端防火墻也許會有所幫助。如果該漏洞變成蠕蟲病毒，安全專家應(yīng)該防止SMB流量離開網(wǎng)絡(luò)，通過在邊界防火墻阻止TCP端口135、139和445。

“IT部門應(yīng)確保運(yùn)行SMB服務(wù)的系統(tǒng)通過企業(yè)網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)，除非有令人信服的業(yè)務(wù)理由，”Thames稱，“如果企業(yè)有面向互聯(lián)網(wǎng)的SMB服務(wù)，那么這些服務(wù)必須被視為最優(yōu)先保護(hù)的服務(wù)。如果這確實是影響SMB服務(wù)器端的漏洞，那么，在修復(fù)程序發(fā)布后的很短時間內(nèi)攻擊者很可能會開發(fā)全功能的漏洞利用。”

Polyakov還建議使用網(wǎng)絡(luò)分段來降低基于Badlock的潛在蠕蟲病毒的風(fēng)險，同時他指向?qū)Ｓ肰LAN。他稱：“我們經(jīng)常向客戶推薦專用VLAN，雖然它們可能在某些環(huán)境帶來初始配置變化，我們發(fā)現(xiàn)這些環(huán)境通常架構(gòu)不好，工作站更加適合服務(wù)器。”

補(bǔ)丁管理也很重要，特別是在修復(fù)程序發(fā)布的數(shù)天前。Williams建議IT專業(yè)人員安排足夠的時間來測試和安裝修復(fù)程序，重視測試。糟糕的修復(fù)程序可能導(dǎo)致藍(lán)屏，同時，不要忘記你可能需要不止一次的修復(fù)。