引子：

2003年的“抗擊非典”，17年后的2020年“抗擊新冠”。

2017年的“永恒之藍”，3年后的2020年“永恒之黑”。

歷史：

2017年5月13日，在“胖哥技術堂”中發布了《截殺“WannaCrypt”，終結“永恒之藍”》。三年后的今天再次為“永恒之黑”發文。

https://blog.51cto.com/liulike/1925357

預警：

微軟在2020年3月12日發布了最新的SMBv3（3.1.1）遠程代碼執行漏洞（CVE-2020-0796），利用該漏洞無須權限即可實現遠程代碼執行，一旦被成功利用，其危害不亞于永恒之藍。同時，CVE-2020-0796漏洞與“永恒之藍”系列漏洞極為相似，都是利用Windows SMB漏洞遠程攻擊獲取系統最高權限。

CVE-2020-0796 | Windows SMBv3 Client/Server Remote Code Execution Vulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

受該漏洞影響的系統為Windows 10 Version 1903及之后的所有Windows 10操作系統，以及Windows Server Version 1903及之后的所有Windows Server操作系統。具體為：

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

非常幸運的是Windows 10 Version 1903和Windows Server Version 1903之前的Windows系統幸免，微軟公布其未受影響，因為該漏洞只存在于使用SMB v3.1.1的系統，早期的系統中的不是該版本的SMB。因此讓剛剛被移出微軟支持列表的Windows 7“逃過一劫”。

絕殺：

為解決該漏洞，微軟在2020年3月12日發布了KB4551762系列補丁，其包含了修復該漏洞的方案。用戶只需要通過Windows Update進行自動或手動更新即可。

March 12, 2020—KB4551762 (OS Builds 18362.720 and 18363.720)

https://support.microsoft.com/zh-cn/help/4551762/windows-10-update-kb4551762

如果需要判斷當前系統存在受影響的列表中，可以通過以下步驟判斷是否已經進行的KB4551762補丁的更新。

以Windows 10 Version 1909操作系統為例，按Windows鍵+R鍵，打開“運行”對話框，輸入“cmd”，點擊“確定”，打開命令提示行窗口。

運行命令systeminfo，在“修補程序”字段中查看是否存在“KB4551762”的補丁，如果存在則表明已經修補了該漏洞，如果不存在，則應該及時修補該補丁。

如果不能聯網在線執行Windows Update的計算機，或者無法連接Microsoft Update更新服務器的計算機。可以通過聯網的計算機直接從Microsoft Update Catalog下載離線補丁更新包，然后在上述計算機上運行補丁更新。

Microsoft Update Catalog

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4551762

假如為了某些應用的兼容性考慮，無法運行KB4551762修復程序的受影響Windows系統計算機，可以通過修改注冊表項禁用SMBv3的壓縮功能來暫時回避該風險。其操作方法如下：

點擊“開始”按鈕，在“應用程序”菜單中找到“Windows PowerShell”文件夾并展開。然后，右擊“Windows PowerShell”應用程序，在上下文菜單中點擊“以管理員身份運行”。

如果有“用戶賬戶控制”對話框彈出，則點擊“是”允許后續操作。

在打開的PowerShell命令行窗口中運行：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

并且通過：

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"

確認操作設置是否成功。

但需要注意，這個并非為永久解決的辦法，強烈建議通過KB4551762徹底修補該漏洞。再者，該禁用SMBv3壓縮功能的方法，將對SMB的效率和性能帶來極大影響。如果需要重新啟用通過上述修改注冊表操作禁用的SMBv3壓縮功能，可以通過以下方法來實現。

在打開的PowerShell命令行窗口中運行：

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force

并且通過：

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"

確認操作設置是否成功。

此外，如果為企業網絡，強烈建議使用防火墻阻斷TCP445端口的縱向通訊，并且針對不需要使用TCP445或SMB的設備或網絡也阻止相關通過，以免遭到通過SMB的橫向流量的攻擊和入侵。

總結

以上是生活随笔為你收集整理的终结“永恒之蓝”后，再战“永恒之黑”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。