"永恆之黑"漏洞(EternalBlack)是一種利用Windows Server Message Block (SMB)協定中的漏洞進行遠程代碼執行的攻擊。具體原理如下:
漏洞類型:該漏洞屬於SMB記憶體損壞漏洞,具體存在於SMB 3.1.1協定中處理壓縮訊息時,對數據沒有進行安全檢查,直接使用可能導致記憶體破壞。
攻擊方式:攻擊者可以利用這個漏洞遠程執行任意代碼。這意味著攻擊者無需獲得系統許可權,就可以通過遠程攻擊入侵目標系統。
影響範圍:該漏洞影響包括但不限於Windows 10 Version 1903及1909版本,以及Windows Server, Version 1903和1909安裝版本。
攻擊過程:當SMB伺服器收到格式錯誤的SMB2_Compression_Transform_Header時,可以觸發此漏洞。隨後,核心調用了RtlDecompressBufferXpressLz函式來解壓縮LZ77數據。這種攻擊方式與WannaCry勒索軟體在2017年利用SMB伺服器漏洞的方式十分類似,具有蠕蟲性,可能能夠利用此漏洞感染並通過網路傳播。
防禦措施:建議關閉防火牆,使用SMBGhost工具檢測靶機是否存在漏洞,並確保系統及時更新以修補已知的安全漏洞。
綜上所述,"永恆之黑"漏洞是一種嚴重的遠程代碼執行漏洞,對受影響的系統構成嚴重威脅。了解其原理和影響範圍對於防禦此類攻擊至關重要。