新的“Redirect to SMB(重定向到SMB协议)”漏洞是18年前发现的一个漏洞的变种，可导致所有版本的Windows遭受中间人攻击。

最新发现，一个旧漏洞的新变种影响着所有版本的Windows，并可能导致中间人攻击。

Cylance 安全公司SPEAR团队的高级研究人员Brian Wallace在博客文章中介绍了被称为“Redirect to SMB”的漏洞，据说该漏洞影响着所有版本的Windows，以及来自Adobe Systems、苹果、Box、微软、Oracle和赛门铁克等31家公司的其他软件。

Cylance表示，该漏洞可能被攻击者用来执行中间人攻击，以及通过劫持与合法Web服务器的通信来窃取用户登录凭证。

Redirect to SMB是基于18年前Aaron Spangler进行的研究，它是一个旧漏洞的变种，微软承诺在2009年修复该漏洞，但最终没有这么做，只是发布了公告和解决方法。

原漏洞(CWE-201)最早于2008年7月被披露。攻击者可以通过诱骗目标人员点击链接来执行攻击，该链接是以file://开头的网址，这可能导致操作系统尝试使用服务器消息块(SMB)协议来验证服务器身份，并允许攻击者让目标机器崩溃。

Redirect to SMB攻击对原来的方法进行了扩展，首先创建一个方法来将目标从HTTP服务器重定向到SMB服务器，然后允许通过HTTP/HTTPS传输凭证数据。 Wallace称，Cylance发现四个常用Windows API功能会允许从HTTP/HTTPS到SMB的重定向，这意味着该漏洞也会影响其他软件，包括Adobe Reader、Apple iTunes和IE等常用应用;针对Windows的GitHub等开发者工具;甚至还有赛门铁克的Norton Security Scan等杀毒软件。

Wallace表示，该漏洞最有可能被高级攻击者用于有针对性的攻击，因为攻击者需要控制受害者网络流量的某些组件。然而，Wallace也指出，攻击者可能通过恶意广告或通过共享Wi-Fi接入点来执行攻击。

Wallace称，最佳防御方法是阻止TCP端口139和445的出站流量，无论是在终端还是在网络网关。但Wallace警告说，阻止TCP 139将阻止所有SMB通信，这可能禁用其他依赖SMB的功能。

微软还没有为该漏洞发布补丁，但该公司发言人提到了2009年的安全指导意见，这表明应采用相同的TCP阻止办法。

微软还指出，身份验证扩展包括(Extended Protection for Authentication)等Windows功能可加强用于处理网络连接登录凭证的现有防御措施，以帮助缓解威胁。

作者：Michael Heller

来源：51CTO