MS10-020：SMB客户端漏洞修复与防护策略详解

MS10-020：SMB客户端更新

今天微软发布了MS10-020更新，修复了Windows SMB客户端中的多个漏洞。本文将提供更多技术细节，帮助您优先安排更新安装，并理解相关攻击途径及缓解措施。

客户端漏洞特性

需特别注意本次更新针对的是Windows SMB客户端漏洞。通常，充当SMB客户端的机器是Windows客户端而非服务器。但在以下场景中，Windows服务器也可能作为SMB客户端运行：

• 终端服务器环境
• 管理员登录服务器访问网络文件
• 从其他SMB服务器镜像内容的服务器

另需注意：默认在客户端和服务器上运行的浏览器服务（Browser Service）可能被用于无交互攻击（详见微软知识库188001）。

攻击向量分析

与服务器端漏洞不同，攻击者无法直接扫描并连接目标系统。要利用这些漏洞，攻击者必须诱使SMB客户端连接恶意服务器，常见方式包括：

1. 包含外部Web/文件服务器链接的钓鱼邮件
2. 通过即时通讯或社交网络发送的诱导消息
3. 含恶意文件服务器链接的HTML邮件/网页（某些应用可能自动访问链接）

互联网攻击成功的前提是目标客户端能向恶意服务器发起出站SMB连接（TCP 139/445端口）。遵循防火墙最佳实践，应在边界防火墙拦截出入站SMB流量以阻断此类攻击。

局域网（内网）攻击风险更高，可能通过：

• 恶意内网用户
• 被控机器作为跳板
• 劫持合法SMB客户端连接
• 利用浏览器服务强制目标连接恶意SMB服务器（可能无用户交互）

缓解措施

外部网络防护：

• 在边界防火墙阻断SMB出入站流量

内网防护：

• 立即应用安全更新
• 启用SMB签名功能，阻止恶意服务器与客户端建立通信

2010年4月13日更新：补充浏览器服务风险说明，感谢安全研究员Laurent Gaffié的协作。
——Mark Wodrich，MSRC工程团队

本文信息"按原样"提供，不提供任何担保，亦不授予任何权利。

技术标签：
攻击向量 | 网络协议 | 风险评估 | SMB
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码