新的“Redirect to SMB(重定向到SMB協(xié)議)”漏洞是18年前發(fā)現(xiàn)的一個(gè)漏洞的變種，可導(dǎo)致所有版本的Windows遭受中間人攻擊。

最新發(fā)現(xiàn)，一個(gè)舊漏洞的新變種影響著所有版本的Windows，并可能導(dǎo)致中間人攻擊。

Cylance 安全公司SPEAR團(tuán)隊(duì)的高級研究人員Brian Wallace在博客文章中介紹了被稱為“Redirect to SMB”的漏洞，據(jù)說該漏洞影響著所有版本的Windows，以及來自Adobe Systems、蘋果、Box、微軟、Oracle和賽門鐵克等31家公司的其他軟件。

Cylance表示，該漏洞可能被攻擊者用來執(zhí)行中間人攻擊，以及通過劫持與合法Web服務(wù)器的通信來竊取用戶登錄憑證。

Redirect to SMB是基于18年前Aaron Spangler進(jìn)行的研究，它是一個(gè)舊漏洞的變種，微軟承諾在2009年修復(fù)該漏洞，但最終沒有這么做，只是發(fā)布了公告和解決方法。

原漏洞(CWE-201)最早于2008年7月被披露。攻擊者可以通過誘騙目標(biāo)人員點(diǎn)擊鏈接來執(zhí)行攻擊，該鏈接是以file://開頭的網(wǎng)址，這可能導(dǎo)致操作系統(tǒng)嘗試使用服務(wù)器消息塊(SMB)協(xié)議來驗(yàn)證服務(wù)器身份，并允許攻擊者讓目標(biāo)機(jī)器崩潰。

Redirect to SMB攻擊對原來的方法進(jìn)行了擴(kuò)展，首先創(chuàng)建一個(gè)方法來將目標(biāo)從HTTP服務(wù)器重定向到SMB服務(wù)器，然后允許通過HTTP/HTTPS傳輸憑證數(shù)據(jù)。 Wallace稱，Cylance發(fā)現(xiàn)四個(gè)常用Windows API功能會允許從HTTP/HTTPS到SMB的重定向，這意味著該漏洞也會影響其他軟件，包括Adobe Reader、Apple iTunes和IE等常用應(yīng)用;針對Windows的GitHub等開發(fā)者工具;甚至還有賽門鐵克的Norton Security Scan等殺毒軟件。

Wallace表示，該漏洞最有可能被高級攻擊者用于有針對性的攻擊，因?yàn)楣粽咝枰刂剖芎φ呔W(wǎng)絡(luò)流量的某些組件。然而，Wallace也指出，攻擊者可能通過惡意廣告或通過共享Wi-Fi接入點(diǎn)來執(zhí)行攻擊。

Wallace稱，最佳防御方法是阻止TCP端口139和445的出站流量，無論是在終端還是在網(wǎng)絡(luò)網(wǎng)關(guān)。但Wallace警告說，阻止TCP 139將阻止所有SMB通信，這可能禁用其他依賴SMB的功能。

微軟還沒有為該漏洞發(fā)布補(bǔ)丁，但該公司發(fā)言人提到了2009年的安全指導(dǎo)意見，這表明應(yīng)采用相同的TCP阻止辦法。

微軟還指出，身份驗(yàn)證擴(kuò)展包括(Extended Protection for Authentication)等Windows功能可加強(qiáng)用于處理網(wǎng)絡(luò)連接登錄憑證的現(xiàn)有防御措施，以幫助緩解威脅。