2020年年初，微软发布了一个紧急补丁，以修复SMBv3的漏洞，该漏洞编号为CVE-2020-0796。

CVE-2020-0796的可蠕虫性让人想起永恒之蓝，永恒之蓝是SMBv1中的一个远程代码执行（RCE）漏洞，也就是灾难性恶意软件WannaCry的主要媒介。一旦攻击者成功利用CVE-2020-0796，远程攻击者就可以完全控制存在漏洞的系统，所以被称为“永恒之黑”。

受永恒之黑影响的系统

Windows 10版本1903（用于32位系统）

Windows 10版本1903（用于基于ARM64的系统）

Windows 10版本1903（用于基于x64的系统）

Windows 10版本1909（用于32位系统）

Windows 10版本1909（用于基于ARM64的系统）

Windows 10版本1909（用于基于x64的系统）

Windows Server 1903版（服务器核心安装）

Windows Server 1909版（服务器核心安装）

永恒之黑的漏洞利用机制

srv2.sys中的Srv2DecompressData函数中存在一个整数溢出错误。当SMB服务器收到格式错误的SMB2_Compression_Transform_Header时，可以触发此漏洞。此函数创建一个缓冲区，用于保存解压缩的数据，该函数通过将“ OriginalSize”添加到“ Offset”来计算缓冲区大小，导致ECX寄存器中的整数溢出。一旦计算出缓冲区大小，它将大小传递给SrvNetAllocateBuffer函数来分配缓冲区。

随后，内核调用了RtlDecompressBufferXpressLz函数来解压缩LZ77数据。上面的屏幕截图显示，内核使用“ rep movs”指令将0x15f8f（89999）字节的数据复制到缓冲区中，该缓冲区的大小先前分配为0x63（99）字节，导致缓冲区溢出，从而导致内存损坏和内核崩溃。

永恒之黑属于SMB内存损坏漏洞，其可蠕虫性可能能够利用此漏洞感染并通过网络传播，这与WannaCry勒索软件在2017年利用SMB服务器漏洞的方式十分类似。

攻击者是如何利用永恒之黑的？

攻击者利用永恒之黑的攻击手段主要有三种。

手段一：在某些公司网络上加入域时，会自动打开SMB端口，从而使该计算机暴露于远程攻击形式，利用该漏洞，开发或使用漏洞利用的攻击者可以完全控制该计算机。

手段二：攻击者的另一种情况是创建自己的SMB服务器，然后诱使用户连接到其恶意服务器。这种攻击可能采取垃圾邮件或即时消息的形式，并带有指向托管恶意代码的邪恶SMB服务器的链接。如果攻击者说服用户单击链接，或者只是远程系统上的共享名（或映射的驱动器），那么恶意服务器将发送该链接，并立即获得对其的完全控制。

手段三：攻击者首先通过其他方式破坏计算机，例如，通过成为打开恶意附件的受害者成为受害者。随后，攻击者可以利用永恒之黑来修改内核的关键组件以获得SYSTEM特权，使攻击者几乎可以在计算机上执行任何操作。

永恒之黑应当如何避免？

系统安全防护不足，风险最大的无疑是企业核心数据。为了让企业有效防护永恒之黑的漏洞利用攻击，我们对比了三种可行的防护方案：

目前全球范围可能存在永恒之黑漏洞的主机总量约10万台，首当其冲成为黑客攻击的目标，若被蠕虫化利用可导致数据丢失、信息泄露、服务器瘫痪等情况。传统安全防护措施在此类高级威胁面前已经失效，核心数据与业务必须得到更进一步的保障。安芯网盾智能内存保护系统通过虚拟化监测内存异常，通过网络过滤仅允许合法的SMB通信，正常的业务通信不受影响，同时阻止了主机之间的其余横向移动，轻松解决永恒之黑和其他关键漏洞。

参考链接：

[1]54bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6F1k6i4N6K6i4K6u0W2M7$3!0H3K9r3!0K6i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8#2M7#2)9J5c8U0t1H3x3U0m8Q4x3V1j5H3x3#2)9J5c8U0p5J5i4K6u0r3M7r3q4@1j5$3S2Q4x3X3c8@1N6h3g2K6k6r3q4&6i4K6u0V1k6X3!0J5i4K6u0V1L8h3q4J5j5$3S2Q4x3X3b7J5x3o6t1H3i4K6u0V1k6X3W2^5k6i4y4Q4x3X3c8@1K9r3g2Q4x3X3c8K6k6i4u0A6L8%4g2K6i4K6u0V1M7$3#2T1i4K6u0V1j5Y4g2Y4i4K6u0V1j5%4k6W2i4K6u0V1x3U0l9J5x3q4)9J5k6o6l9%4z5e0k6Q4x3V1j5`.

[2]4b7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5i4m8W2M7W2)9J5k6i4y4W2k6h3u0#2k6#2)9J5k6h3!0J5k6#2)9J5c8U0p5I4y4U0S2Q4x3V1j5`.

[3]a03K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6j5h3&6K6i4K6u0W2L8%4u0Y4i4K6u0r3j5X3I4G2k6#2)9J5c8X3#2A6j5%4u0G2M7$3!0X3N6q4)9J5k6s2y4E0j5Y4j5K6i4K6u0V1x3e0q4Q4x3X3c8$3N6h3I4F1k6i4u0S2j5X3W2D9K9i4c8&6i4K6u0V1j5h3&6V1i4K6u0V1M7r3q4@1j5$3S2Q4x3X3c8U0N6X3g2Q4x3X3b7J5x3o6t1H3i4K6u0V1x3o6M7&6y4W2)9J5k6r3g2^5M7r3I4S2K9h3&6W2k6q4)9J5c8R3`.`.

[4]cf3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2N6X3g2K6L8X3g2@1M7$3g2U0i4K6u0W2j5$3!0E0i4K6u0r3j5%4k6W2x3U0l9J5x3o6l9%4z5e0j5`.

[5]7bcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0k6h3c8A6N6h3#2Q4x3X3g2U0L8$3#2Q4x3V1k6Q4y4o6m8C8L8X3!0%4L8Y4y4W2j5K6b7H3y4s2c8W2j5h3#2Q4x3V1k6U0N6X3g2Q4x3X3b7J5x3o6t1H3i4K6u0V1x3o6M7&6y4W2)9J5k6s2N6A6L8X3c8G2N6%4y4Q4x3X3c8K6L8h3u0$3x3#2)9J5k6r3I4H3k6g2)9J5k6r3g2^5M7r3I4G2K9i4c8Q4x3X3c8H3L8$3y4Q4x3X3c8S2L8X3q4D9P5i4y4A6M7#2)9J5k6r3x3%4y4K6f1$3z5e0p5J5y4r3x3^5y4H3`.`.

[6]edbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2W2P5s2m8D9L8$3W2@1i4K6u0V1k6r3u0Q4x3X3g2U0L8$3#2Q4x3V1k6W2P5s2m8D9L8$3W2@1M7#2)9J5c8U0b7^5x3U0j5%4

[7]f50K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3L8%4u0@1K9h3&6W2N6q4)9J5k6h3y4G2L8g2)9J5c8X3u0D9L8$3N6Q4x3V1k6@1K9s2u0W2j5i4c8Q4x3X3c8J5k6i4y4W2j5i4u0U0K9q4)9J5c8X3y4$3k6g2)9J5k6o6t1H3x3U0m8Q4x3X3b7H3y4K6V1$3i4K6u0V1L8h3g2E0L8%4u0&6i4K6u0V1j5$3!0J5M7Y4g2H3N6r3W2G2L8W2)9J5k6s2k6#2L8r3&6W2M7X3q4T1K9h3I4A6N6s2W2Q4x3X3c8A6L8W2)9J5k6s2N6A6L8X3c8G2N6%4y4Q4x3X3b7I4x3q4)9J5k6s2y4E0j5W2)9J5k6s2y4W2M7Y4k6W2M7R3`.`.

[8]bb3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6D9K9i4g2D9K9h3E0W2i4K6u0r3x3U0b7%4z5o6j5^5y4l9`.`.

[9]1f8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2M7X3q4H3K9h3b7%4i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9J5x3q4)9J5c8U0l9K6i4K6u0r3x3e0u0Q4x3V1k6U0N6X3g2Q4x3X3b7J5x3o6t1H3i4K6u0V1x3o6M7&6y4W2)9J5k6r3#2A6j5%4u0G2M7$3!0X3N6q4)9J5k6s2y4E0j5Y4j5K6i4K6u0V1M7X3g2E0L8%4c8W2i4K6u0V1j5$3!0V1k6g2)9J5k6r3g2^5k6h3y4#2N6r3W2G2L8W2)9J5k6s2k6#2L8r3&6W2M7X3q4T1K9h3I4A6N6s2W2Q4x3X3c8S2L8X3q4D9P5i4y4A6M7#2)9J5c8R3`.`.