去年9月初微软向用户通告了一个远程代码执行漏洞，它存在于第二版服务器消息块（SMB v2）协议中。SMB是Windows环境下的一种文件共享和打印协议，用于网络设备间消息的传递。

　　安全研究员们开发出的攻击代码能够利用这个缺陷造成拒绝服务攻击（DoS）或者是未认证的远程代码执行。漏洞代码也已经被公布于众。
 
　　早期微软发布了一个补丁禁用v2版本的SMB。V2版本的SMB是该协议的更新版本，只支持Windows Server 2008、Windows Vista和Windows 7。并且只有当客户端和服务器都支持时才能够使用。Windows Vista SP2及其早期版本和Windows 2008 SP2及其早期版本都存在该漏洞。Windows 7 RC版也存在该漏洞，但是Windows 7 官方正式版在发布前已打上补丁。Windows XP、Windows 2003 和 Windows 2008 R2不存在该漏洞。
 
　　去年10月份微软在其周二的例行补丁更新中发布了一个安全补丁。建议企业在正常补丁周期中应用该补丁，并且如果不能现在部署该补丁也应该在微软的下次补丁发布前这样做。在本文中让我们探究下为什么企业应该考虑加快SMB补丁的部署或采纳某种变通方案。
 
　　日常环境中远程代码执行或者拒绝服务攻击是严重的威胁。第二版的服务器消息块的安全漏洞可能被融合到僵尸程序、蠕虫或者其它恶意软件代码中，以攻击某组织、访问数据并进一步渗透到其网络中。许多僵尸程序、蠕虫或其它类型的恶意代码以模块化的方式开发以方便融入新的攻击方法和漏洞。
 
　　例如，臭名昭著的Conficker蠕虫（又名Conficker/Downadup）使用几个不同的Windows漏洞来传播和感染系统。类似地这个SMB漏洞也能够包含到蠕虫程序中并且快速地传播。虽然该漏洞代码还未被包含到其它恶意软件中，它可能被融入蠕虫或者僵尸程序并且用于目标性的攻击中。开源渗透软件Metasploit的测试框架也把它包含其中。
 
　　然而在客户端计算机上利用这个漏洞的可能性非常小，除非没有遵循几个最佳实践。也就是说禁用了默认的主机防火墙和在边界上没有防护Windows网络包括SMB功能。这种攻击依赖使用SMBv2的Windows网络将恶意代码传播到漏洞主机中。在Windows Server 2008上该漏洞被利用的可能性更高，因为不太可能用防火墙隔离来自客户端系统的文件或打印机服务器网络连接请求。
 
　　无法立即部署该补丁的企业应该使用变通方案之一，即禁用SMBv2以确保系统有足够的保护直到部署补丁，我们在一分钟内就能完成这些。但是企业在部署一个变通方案前必须回答的问题是如果这样做比起部署补丁是否费力较少。应用补丁和变通方案间的部署机制可能会有所不同。
 
　　可以使用标准的补丁工具部署补丁，但是执行变通方案可能需要额外的测试和部署尝试。使用变通方案有两种方式禁用SMBv2：微软发布了一个FixIt修补软件包会禁用第二版的服务器消息块。也能通过需要重启服务的注册表键值修改完成。两者都需要在部署补丁后再次启用SMBv2以便让该功能再次可用。
 
　　禁用系统服务是推荐的一种变通方案，但是这会对系统有极大的影响，因为这种服务器服务是一些管理系统操作的核心，它会提供Windows文件和打印服务。另一个变通方案是再次启用Widows防火墙到默认状态。这两种方案在部署前都需要足够的测试，重新开启Windows防火墙后需要鉴定相应的软件或服务。
 
　　对于今后类似的Windows网络或者SMB漏洞，企业应该遵循一样的建议，并且将补丁部署和变通方案所作的努力进行对比，并对攻击代码的可行性做尝试，以选择最适合他们环境的策略。权衡新漏洞带来的风险以及攻克该漏洞的努力程度，以达到防御新漏洞的目的。部署边界防火墙和利用客户端的防火墙将会帮助减少网络上的计算机被SMBv2漏洞利用的风险。