如您所知,在遭受多次勒索軟體攻擊後,Microsoft 決定在 Windows 作業系統上預設為停用 SMBv1。
然而,儘管發布了補丁(MS17-010)為了解決這些攻擊,似乎微軟仍然提倡不是使用它。
更令人困惑的是,上面連結的補丁似乎只針對 SMBv1 伺服器而不是客戶端:
此安全性更新解決了 Microsoft Windows 中的漏洞。如果攻擊者向 Microsoft 伺服器訊息區塊 1.0 (SMBv1) 發送特製訊息,最嚴重的漏洞可能允許遠端執行程式碼伺服器。
就我而言,在我的 Windows 10 電腦上,我需要使用 SMBv1 用戶端存取連接到數據機/路由器的網路硬碟驅動器,該調變解調器/路由器僅支援 SMBv1 並且直接連接到 Internet...
假設該修補程式解決了 SMBv1 伺服器和用戶端漏洞,為什麼我們仍然建議遠離 SMBv1?
修補後,我們真的會面臨啟用它的嚴重風險嗎?
答案1
SMBv1 的安全性問題是協定設計中的錯誤,因此即使微軟找到了阻止漏洞的方法特別的到目前為止發現的攻擊,仍然可以開發出逃避封鎖的新變體。
嘗試繼續使用 SMBv1 會導致惡意軟體編寫者陷入一場打地鼠遊戲,要求每個人都留意新的漏洞,並在新漏洞出現後立即為其創建和應用修補程式。只要 SMBv1 被廣泛使用,新的漏洞就會不斷出現。
當 WannaCry 蠕蟲利用 SMBv1 的弱點如野火般蔓延時,微軟已經宣布了 SMBv1 的棄用時間表。因此,微軟決定透過加快棄用時間表來解決問題:這將完全消除漏洞的根本原因。
https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
SMB1 不安全
當您使用 SMB1 時,您將失去後續 SMB 協定版本提供的金鑰保護:
- 預先身份驗證完整性 (SMB 3.1.1+)。防止安全降級攻擊。
- 安全方言協商(SMB 3.0、3.02)。防止安全降級攻擊。
- 加密(SMB 3.0+)。防止檢查線路上的資料、MiTM 攻擊。在 SMB 3.1.1 中,加密效能甚至比簽章更好!
- 不安全的來賓身份驗證阻止(Windows 10+ 上的 SMB 3.0+)。防止中間人攻擊。
- 更好的訊息簽章(SMB 2.02+)。 HMAC SHA-256 取代 MD5 作為 SMB 2.02、SMB 2.1 中的雜湊演算法,AES-CMAC 取代 SMB 3.0+ 中的雜湊演算法。 SMB2 和 3 中的簽章效能有所提升。
令人討厭的是,無論您如何保護所有這些東西,如果您的客戶端使用 SMB1,那麼中間人可以告訴您的客戶端忽略以上所有內容。他們所需要做的就是阻止自己的 SMB2+ 並回答您的伺服器名稱或 IP。您的客戶會很高興地放棄 SMB1 並分享其所有最黑暗的秘密,除非您首先需要對該共用進行加密以阻止 SMB1。這不是理論上的——我們已經看到了。
這句話是由 Ned Pyle 寫的,他是撰寫本文時 Microsoft SMB 協定的擁有者。這就是你能從馬口中得到的最直接的訊息。