“永恒之黑”针对win10和服务器漏洞分析

几个月前就注意到了CVE-2020-0796漏洞，SMB V3远程代码执行漏洞（又称永恒之黑），没太在意，这几天国内外各大媒体，甚至美国国土安全部也发布了公告，并警告该漏洞已经被广泛应用。（SMB）协议的3.1.1版本与臭名昭著的WannaCry勒索软件在2017 年针对的协议相同。可以被利用来进行拒绝服务（DDoS）攻击，本地特权提升和任意代码执行。攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。
该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。除了直接攻击SMB服务端造成RCE外，该漏洞的亮点在于对SMB客户端的攻击，攻击者可以构造特定的网页，压缩包，共享目录，OFFICE文档等多种方式触发漏洞进行攻击。
POC已经出现，EXP稍加修改即可实现攻击。
【漏洞版本】漏洞不影响win7，漏洞影响Windows 10 1903之后的32位、64位Windows，包括家用版、专业版、企业版、教育版。具体列表如下：
Windows 10 Version 1903 for 32-bit SystemsWindows 10 Version 1903 for x64-based SystemsWindows 10 Version 1903 for ARM64-based SystemsWindows Server, Version 1903 (Server Core installation)Windows 10 Version 1909 for 32-bit SystemsWindows 10 Version 1909 for x64-based SystemsWindows 10 Version 1909 for ARM64-based SystemsWindows Server, Version 1909 (Server Core installation)
但是个人认为这个漏洞爆发影响应该不会很大，不会像永恒之蓝，该漏洞只要受影响的win10各版本系统正常联网，自动更新打补丁即可，除非特意禁止了升级，或者内网机器无法更新升级。服务器也仅仅限于固定版本，已经升级打补丁的系统无需担心。