新代码漏洞“永恒之黑”该如何警惕？

> 欢迎关注公众号“中科天齐”（id：woocoom），获取更多行业专业资讯！

新代码漏洞“永恒之黑”该如何警惕？

北京时间3月12日，针对最新披露的SMB远程代码执行漏洞（CVE-2020-0796），微软官方发布了针对Windows 10/Server禁用SMBv3（SMB 3.1.1版本）协议压缩的安全指南公告，旨在缓解该漏洞所造成的威胁。随即，腾讯安全网络资产风险监测系统给出了预测数据——目前全球范围可能存在漏洞的SMB服务总量约10万台，首当其冲成为黑客攻击的目标。

据悉，该漏洞为SMBv3协议（用于文件共享与打印服务）在处理调用请求时的一个远程代码执行漏洞，攻击者无须权限便可通过多种方式触发，获取目标主机完全控制权并执行。其利用方式与“永恒之蓝”有极其相似之处，若被蠕虫化利用可导致数据丢失、信息泄露、服务器瘫痪等情况，因此又被称为“永恒之黑”。除了直接攻击SMB服务端造成远程代码执行(RCE)外，“永恒之黑”漏洞的攻击者还可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等，向攻击目标发送，一旦被攻击者打开则瞬间触发漏洞受到攻击。

据了解，凡政府机构、企事业单位网络中采用Windows 10 1903之后的所有终端节点，如Windows家用版、专业版、企业版、教育版、Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均为潜在攻击目标，Windows 7不受影响。

附：“永恒之黑”漏洞影响范围
Windows10 Version 1903 for 32-bit Systems
Windows10 Version 1903 for ARM64-based Systems
Windows10 Version 1903 for x64-based Systems
Windows10 Version 1909 for 32-bit Systems
Windows10 Version 1909 for ARM64-based Systems
Windows10 Version 1909 for x64-based Systems
WindowsServer, version 1903 (Server Core installation)
WindowsServer, version 1909 (Server Core installation)

措施与建议：

1、更新系统、完成补丁的安装：
操作步骤：设置->更新和安全->Windows更新，点击“检查更新”。

2、不更新系统的临时应对方法：
运行regedit.exe，打开注册表编辑器，在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD，值为1，禁止SMB的压缩功能。

3、对SMB通信445端口进行封禁。

（本文整理自网络素材，如有侵权请及时联系告知。）