MS10-020：SMB 客户端漏洞修复与防护策略详解

MS10-020：SMB 客户端更新

今天微软发布了 MS10-020 更新，修复了 Windows SMB 客户端中的多个漏洞。本文将提供更多技术细节，帮助您优先安排更新安装，并理解相关攻击途径及缓解措施。

客户端漏洞特性

需特别注意本次更新针对的是 Windows SMB 客户端漏洞。通常，充当 SMB 客户端的机器是 Windows 客户端而非服务器。但在以下场景中，Windows 服务器也可能作为 SMB 客户端运行：

• 终端服务器环境

• 管理员登录服务器访问网络文件

• 从其他 SMB 服务器镜像内容的服务器

另需注意：默认在客户端和服务器上运行的浏览器服务（Browser Service）可能被用于无交互攻击（详见微软知识库188001）。

攻击向量分析

与服务器端漏洞不同，攻击者无法直接扫描并连接目标系统。要利用这些漏洞，攻击者必须诱使 SMB 客户端连接恶意服务器，常见方式包括：

1. 包含外部 Web/文件服务器链接的钓鱼邮件

2. 通过即时通讯或社交网络发送的诱导消息

3. 含恶意文件服务器链接的 HTML 邮件/网页（某些应用可能自动访问链接）

互联网攻击成功的前提是目标客户端能向恶意服务器发起出站 SMB 连接（TCP 139/445 端口）。遵循防火墙最佳实践，应在边界防火墙拦截出入站 SMB 流量以阻断此类攻击。

局域网（内网）攻击风险更高，可能通过：

• 恶意内网用户

• 被控机器作为跳板

• 劫持合法 SMB 客户端连接

• 利用浏览器服务强制目标连接恶意 SMB 服务器（可能无用户交互）

缓解措施

外部网络防护：

• 在边界防火墙阻断 SMB 出入站流量

内网防护：

• 立即应用安全更新

• 启用 SMB 签名功能，阻止恶意服务器与客户端建立通信

2010 年 4 月 13 日更新：补充浏览器服务风险说明，感谢安全研究员 Laurent Gaffié的协作。

——Mark Wodrich，MSRC 工程团队

本文信息"按原样"提供，不提供任何担保，亦不授予任何权利。

技术标签：

攻击向量 | 网络协议 | 风险评估 | SMB 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手