概述

EternalBlue是一种允许网络威胁行为者远程执行任意代码并通过发送特制数据包来访问网络的漏洞。它利用了Microsoft Windows操作系统(OS)服务器消息块中的软件漏洞(SMB)版本1(SMBv1)协议，一种网络文件共享协议，允许访问远程服务器上的文件。此漏洞可能允许网络威胁行为者危害整个网络以及与其连接的所有设备。由于EternalBlue能够破坏网络，如果一台设备通过Eternal Blue被恶意软件感染，则连接到网络的每台设备都将面临风险。这使得恢复变得困难，因为网络上的所有设备可能必须离线才能进行修复。该漏洞已修复并在Microsoft安全公告中列为MS17-010。

利用Eternal Blue的恶意软件可以在网络中自我传播，从而大大增加其影响。例如，加密勒索软件WannaCry是第一个也是最知名的利用此漏洞进行传播的恶意软件之一。WannaCry利用EternalBlue漏洞在网络中传播，感染所有连接的设备并丢弃加密勒索软件负载。这增加了WannaCry在短时间内可能造成的持续性和伤害。这种增长使得EternalBlue受到各种恶意软件的欢迎，例如Trickbot（一种模块化银行木马）以及CoinMiner和WannaMine（使用EternalBlue漏洞利用来获取计算能力来挖掘加密货币的加密矿工）。

有关此漏洞的更多信息，请参阅的Microsoft SMBv1通报以及常见漏洞和披露列表，其中列出了CVE-2017-0143、CVE2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147和CVE-2017-0148。

建议

·使用Microsoft Windows SMB v1的安全更新来修补装有Microsoft Windows操作系统的设备。Microsoft安全公告MS17-010包含受影响的Windows操作系统列表。

·使用Eset工具检查您的Windows版本是否容易受到攻击。

·在适当的情况下，在适当的测试后，在所有系统上禁用SMBv1并使用SMBv2或SMBv3。

·使用组策略对象设置Windows防火墙规则以限制与客户端系统的入站SMB通信。如果使用替代的基于主机的入侵防御系统(HIPS)，请考虑实施自定义修改来控制客户端到客户端SMB通信。至少创建一个组策略对象，限制来自客户端的入站SMB连接。

·将最小权限原则应用于所有系统和服务，并以非特权用户（没有管理权限的用户）身份运行所有软件。

原文始发于微信公众号（河南等级保护测评）：网络安全入门–Eternal Blue