永恒之蓝漏洞原理

一、什么是永恒之蓝

永恒之蓝（Eternal Blue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日， 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，使全世界大范围内遭受了该勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。

二、什么是SMB协议

SMB（Server Message Block）通信协议是微软（Microsoft）和英特尔(Intel)在1987年制定的协议，主要是作为Microsoft网络的通讯协议。SMB 是在会话层（session layer）和表示层（presentation layer）以及小部分应用层（application layer）的协议。通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源，电脑上的网上邻居就是靠SMB实现的；SMB协议工作在应用层和会话层，可以用在TCP/IP协议之上，SMB使用TCP139端口和TCP445端口。

三、漏洞描述

永恒之蓝 主要就是通过TCP端口（445）和139 来利用SMBv1和NBT中的远程代码执行漏洞，恶意代码会扫描开放445文件共享端口的windows 机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器里进行一系列的危险操作。 如远程控制木马，获取最高权限等。

四、影响范围

windows xp 2003 2008 7 8 等受影响