漏洞
EternalBlue (CVE-2017-0144)
别称: MS17-010, CVE-2017-0144
定义
由 NSA 开发的 2017 年 Microsoft SMBv1 远程代码执行漏洞利用,被 Shadow Brokers 泄露后,WannaCry 与 NotPetya 借此横扫全球。
EternalBlue(CVE-2017-0144)是 Microsoft SMBv1 实现中的远程代码执行漏洞,允许网络中未认证的攻击者在大多数受支持的 Windows 系统上以内核权限执行代码。该利用最初是 NSA 的能力,2017 年 4 月被 Shadow Brokers 泄露公开。它在 2017 年 5 月成为 WannaCry、6 月成为 NotPetya 的传播引擎,在全球造成数十亿美元损失。微软于 2017 年 3 月发布了 MS17-010,并在 WannaCry 之后甚至将其回移植至 Windows XP。防御措施包括:打 MS17-010 补丁、禁用 SMBv1、网络分段以及在边界封堵 SMB。
示例
- WannaCry 借助 EternalBlue 在企业 Windows 网络内蠕虫式扩散。
- NotPetya 利用 EternalBlue 在组织内传播后擦除数据。