在遥远的1983 年初，就职于 IBM 公司的 Barry Feigenbaum 开发了一个网络共享协议，试图让现在听上去已古老的 DOS 操作 系统支持网络文件访问。雏形版本叫做 “BAF”，正式发版的时候更名为“SMB”(Server Message Block)， 最 早 见 于1984年11月8日 的IBMPersonalComputer Seminar Proceedings, 卷 2。随后，微软在 IBM 版本的基础上作了大幅修改，形成通 用版本。分别在 1987 年和 1992 年将其引入 Microsoft LAN Manager 和 Windows Workgroups 项目， 从此 SMB 也开启 在 Windows 平台漫长的生涯。

1996 年微软的 SMB 迎来一次不小的挑战，SUN 公司强势 推出了 WebNFS。微软针锋相对，一方面将 SMB 更名为更通 用的 CIFS(Common Internet File System)，并递交公开的 IETF CIFS 1.0 草案。此外继续给 SMB/CIFS 增加一系列特性， 包括符号连接，硬链接等来迎合市场，为减少性能损耗，微软也着 手优化掉不必要的 NetBIOS 协议。

SMB/CIFS 的易扩展性让它在 Windows，Linux，NAS 等 平台或场景中扮演着重要的角色，SMB/CIFS 协议支持了超过 100 条的复杂主指令 (Command)。但是 SMB 相关的文档都是读起来要累掉大牙的，SMB/CIFS 开始变得臃肿了，自身啰里八嗦的交互让它成了当时的网络资源杀手，很少用户会把它应 用在 WAN 下，甚至一些厂家不得不搭建中间协议缓存系统来提 高整体的网络性能。SMB 这样的情况让很多人都很不开心，(当然有些人是很开 心的，比如 Hackers)。直到 2007 年，SMBv2 项目的出现给 SMB 协议带来了光明 的希望。至此，第一代 SMB 协议缝缝补补 24 年，即 SMBv1(全名: Server Message Block，曾用名:CIFS，1983 年- 2007 年)。

2017 年，SMB1 已经近 34 岁了，它的设计和出现更多是为已经消失的过去，那个还没有恶意攻击行为，还没 有海量重要数据，还没有普及计算机的世界。在现在看来，SMB1 协议拥有一个“好傻好天真”的一生。近年负责微软 SMB 协议项目的专家 NedPyle，在 Twitter 中说了这么一个比喻，“当今社会还在运行 SMB1 协议就像带着 你的祖母去一个热闹的舞会，她是出于好意前往的，但她是真得跳 不动了。而且，这可能会是个令人害怕和难堪的事情。”。

SMB1 确实给互联网带来过人人恐慌的经历。

2017 年 3 月，早在 MS17-010 漏洞被 WannaCRY 攻击之前，微软发布了 MS17-10 补丁程序并提醒用户这是一个重 要更新，但是并没有卵用，没有几个用户进行了更新，除了强迫症患者。安全人员根据补丁文件数字签名发现 微软在 2 月份的时候就知道漏洞细节。4 月，著名的黑客组织影子 经纪人(The Shadow Brockers)发布“永恒之蓝”的完整漏 洞利用框架，信息安全行业沸腾了，但用户依然没有太强烈的感知。 5 月，WannaCRY 直接利用“永恒之蓝”漏洞和框架 配套的“双星脉冲”后门成功扫荡互联网，一时间波及 150 多个国家，超过 30 万台主机受到影响，有信息表示该 攻击事件造成了全球 80 亿美元的直接经济损失。

“永恒之蓝”是微软 SMB1 协议漏洞的一个近乎完美攻击利 用，可以直接拿下Windows 2K，Windows XP，Windows7， Windows8，甚至 Windows 10 在内的操作系统（未更新补丁）。SMBv1 长远的 历史地位，大规模用户量和远程网络服务功能，让它的漏洞与生俱 来就具备成为最有价值漏洞的资本。实际上，微软的 MS17-010 系列漏洞因其罕见的影响力而被作为一个划时代的漏 洞写入到了互联网安全历史。WannaCRY 事件之后，安全行业普遍认为互联网安全进入 了后“永恒之蓝”时代，但有关微软 SMBv1 协议的安全漏洞还没有结束，时不时的有后辈想一鸣惊人再现前辈“永恒之蓝”的辉煌，不停的在通过攻击SMB1协议证明自己的威力。

2007 年至今，微软和业界对 SMB 作了大幅度改进， 修订出了更符合现代安全需求的 SMBv2,3 协议和实现。糟糕的是，不管如何提高 SMB 协议的安全性，只要服务端 和客户端支持使用 SMBv1，中间人攻击就无法避免。黑客只要踢 掉 SMBv2+ 协议并告诉此路不通，客户端就会主动傻呵呵的降级到 SMBv1，和黑客共享通信过程中的一系列消息，除非通信内容本身 加密。

虽然在windows10在更新了最新的补丁之后会默认关闭SMBv1，但考虑到国内大量用户使用windows7而且即使使用windows10的用户大比例上也没有主动更新补丁的习惯，所以SMBv1依然是企业用户的首要高危风险之一。禁用SMBv1可能是解决SMBv1高危风险的终极解决方案了。

文/上海蓝盟 IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包，一周安全风向标20201119

• 分享到：