SMBGhost漏洞数月后再被“捧红” 火绒用户无需恐慌

昨日，火绒接到用户反馈，咨询多家安全友商相继发布的漏洞预警一事。经火绒工程师确认，不同厂商报告中涉及名称SMBGhost、CoronaBlue，甚至“永恒之黑”的漏洞均为CVE-2020-0796漏洞。早在3月10日该漏洞被微软披露之初，火绒就迅速发布相关说明，并第一时间向火绒用户推送了补丁。需要注意的是，国内有厂商将该漏洞称为“永恒之黑”，火绒工程师确认其与NSA释放的武器库“永恒之蓝”等系列并无关联。

此次多家厂商预警是因为有国外安全研究员公开了一份该漏洞的PoC代码，且发现“黑球”病毒（也就是火绒此前曾披露过的“柠檬鸭”的升级版）已经开始检测、上报存在该漏洞的终端信息，不排除将来使用该漏洞进行传播的可能性。不过用户无需过分担心，安装火绒安全软件即可查杀该病毒。同时对于该漏洞，打补丁即可防御。

1、漏洞危害及影响范围

攻击者利用该漏洞，可无需身份认证进行远程攻击。火绒工程师认为该漏洞可以被用来直接攻击，是与“永恒之蓝“漏洞类似的“蠕虫级别”的高危漏洞。不过虽然危害较高，但其影响范围相较“永恒之蓝”来说较小，只限于Windows 10系统1903和1909两个版本，对于其它系统（包括Win XP、Windows 7）不会产生影响。

PS：同时按住“Windows+R”键。在弹出运行窗口输入“winver”命令，即可以查看具体版本号。

2、 受影响的系统

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, version 1909 (Server Core installation)

3、更新补丁号

微软发布该漏洞后，于3月12日发布了更新补丁，补丁号为：KB4551762。

但随着时间的推移（已经时隔近3个月），最新的补丁号为：KB4556799。该补丁为“累积更新补丁”，包含此前的所有漏洞补丁。

当时已经修复该漏洞（KB4551762），或已经更新了微软最新漏洞补丁（KB4556799）的用户没有危险，无需担心。未修复漏洞的用户，可以根据以下方法更新补丁即可防御。

4、修复方法

（1）下载微软官方提供的补丁

补丁链接：

3月12日更新补丁（KB4551762）：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

最新更新补丁（KB4556799）：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4556799 

（2）火绒个人版和企业版的“漏洞修复”功能模块均已完成紧急升级，通过【漏洞修复】功能即可修复该漏洞。

（3）内网等不便安装更新的用户也无需担心，火绒【网络入侵拦截】功能可以拦截通过该漏洞发起的攻击，该功能默认开启。

补充材料：

https://www.huorong.cn/info/1584003786442.html

https://www.huorong.cn/info/1584081901443.html

https://www.huorong.cn/info/1586944971456.html