目录
永恒之蓝介绍
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,
“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,
英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。
什么是SMB协议
SMB(Server Message Block)协议是一种用于在计算机网络上共享文件、打印机和其他资源的通信协议。它最初由IBM开发,后来被微软采用并集成到Windows操作系统中。SMB协议允许计算机之间共享文件和打印机,以及访问远程计算机上的共享资源。SMB协议还提供了一些安全功能,例如身份验证和加密,以保护共享资源不被未经授权的用户访问。SMB协议是现代计算机网络中最常用的文件共享协议之一。
SMB协议的工作原理
客户端向服务器发送一个请求,请求访问共享资源。
服务器收到请求后,会验证客户端的身份和权限,如果验证通过,则会向客户端发送一个会话消息,建立一个会话
客户端和服务器之间的会话建立后,客户端可以向服务器发送各种请求,如读取、写入、删除文件等。
服务器接收到请求后,会执行相应的操作,并将结果返回给客户端。
当客户端不再需要访问共享资源时,它会向服务器发送一个关闭会话的请求,服务器会关闭会话并释放资源。另外:SMB协议支持多种传输协议,如TCP/IP、NetBEUI等,可以在局域网、广域网和互联网上使用。它还支持加密和数字签名等安全机制,以保护数据的安全性。
漏洞成因
永恒之蓝漏洞通过 TCP 的445和139端口,来利用 SMBv1 和 NBT 中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机。只要用户主机开机联网,即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。
目前已知受影响的 Windows 版本包括但不限于
WindowsNT
Windows2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0
永恒之黑介绍
永恒之黑漏洞与“永恒之蓝”漏洞极为相似,都是利用 “Windows SMB服务” 漏洞远程攻击获取系统最高权限。
漏洞成因
CVE-2020-0796 漏洞存在于受影响版本的 Windows 驱动 srv2.sys 中,由于 Windows SMB 更新到 3.1.1 版本增加了对压缩数据的支持,未对用户传输的压缩数据的合法性进行校验。
漏洞危害
“永恒之黑”漏洞高危之处在于对SMB客户端的攻击,攻击者可以通过构造一个“特制”的网页、压缩包、共享目录、OFFICE文档等,向攻击目标发送,一旦被攻击者打开则瞬间触发漏洞受到攻击。
攻击原理
本漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。利用该漏洞,攻击方可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。永恒之黑一旦被成功利用,其危害不亚于永恒之蓝。
受影响的Windows版本
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
