前言

國外技術網站Github曝光了Windows SMBv3存在遠程攻擊0day漏洞。根據已公開的漏洞驗證代碼(POC)，攻擊者可以迫使受影響系統藍屏崩潰。目前微軟尚未對此漏洞發布公告，暫不明確何時將推出補丁。

經驗證，此漏洞主要影響Windows Server 2012/2016、Win8/8.1以及Win10系統。攻擊者可以模擬成一個SMB服務器，誘使客戶端發起SMB請求來觸發漏洞;攻擊者也可以通過中間人方式“毒化”SMB回應，插入惡意的SMB回復實現拒絕服務。

研究人員在Win10上驗證SMBv3遠程拒絕服務漏洞攻擊

關于Microsoft 服務器消息塊(SMB)協議

Microsoft 服務器消息塊 (SMB) 協議是 Microsoft Windows 中使用的一項 Microsoft 網絡文件共享協議。

漏洞影響范圍

此漏洞存在于SMB客戶端(mrxsmb20.sys)，已公開的POC可以導致系統BSOD，即死亡藍屏。攻擊者可以通過139、445等遠程端口，或中間人攻擊，甚至以包含UNC路徑的郵件、文檔或網頁誘騙用戶點擊觸發漏洞。

漏洞緩解措施

鑒于該漏洞攻擊方法已經公開，且尚無補丁，360安全中心建議企業客戶在防火墻處阻止TCP 端口 139 和 445，通過阻止入站和出站 SMB 流量，保護位于防火墻后面的系統防范此漏洞攻擊造成的安全風險。