As portas não são vulneráveis, são apenas portas. Os serviços que atendem em portas específicas podem ter vulnerabilidades exploráveis remotamente ou a configuração incorreta de serviços que atendem em portas específicas pode levar a conseqüências não intencionais. Os últimos exploits remotos que alvejaram o NetBIOS / 139 estavam no Windows NT / 2000 com o melhor de minhas lembranças.
A porta 139 é normalmente usada para compartilhamento de arquivos / impressoras, incluindo replicação de diretório com o Active Directory, relações de confiança, acesso remoto a logs de eventos, etc.
Então ... se você bloquear a porta 139 em um controlador de domínio só porque leu em algum lugar na Internet que essa porta é "ruim", ou porque você está seguindo uma lista de verificação genérica que encontrou na Internet; você vai matar a replicação do AD. Se você bloquear 139 em uma rede comercial típica, perderá a capacidade de fazer muito de qualquer coisa em um computador remoto (gerenciar remotamente clientes / servidores, instalar software, compartilhar impressoras, arquivos ...) Não é bom em um ambiente gerenciado, a menos Você gosta de enviar um técnico no local sempre que precisar fazer algo em um computador. Heck, você poderia ser SUPER seguro e apenas desabilitar as placas de rede completamente, e usar disquetes para mover os bits ao redor. Você pode desabilitar a porta 80 no seu Apache Web Server devido à possibilidade de vulnerabilidades de script entre sites. Você pode bloquear a porta 1433 para reduzir instâncias de ataques de injeção de SQL. (tudo bem, vou sair agora;)
A chave é entender a finalidade e os requisitos dos serviços ativados em sua rede, entender as ameaças que eles enfrentam e entender as atenuações adequadas.
Você deseja usar os controladores de domínio e colocá-los em uma conexão de rede com acesso à Internet sem bloquear / filtrar o acesso à porta 139 (ou a muitas outras portas)? Você deseja conectar um computador doméstico ao Windows ME e o compartilhamento de arquivos / impressão ativado diretamente no seu modem a cabo sem ter um roteador de filtragem de conexões ou um firewall ativado em seu computador? Claro que não.
Um ótimo livro que cobre grande parte dessas informações (incluindo o "Por que" está por trás das decisões de segurança que você deve tomar) é Protect Sua Rede Windows: Do Perímetro aos Dados de Steve Riley e Jesper Johansson.