1

Я не понимаю этого:

Есть противоречивые вещи, которые я читал о том, как смягчить инцидент с WannaCry, некоторые говорят, что если клиент и сервер SMBv1 отключены, исправление MS17-010 НЕ требуется, другие говорят, что даже если клиент и сервер SMBv1 отключены, исправление MS17-010 все еще требуется.

Итак, я действительно не понимаю, кого мне следует слушать, если SMBv1-клиент и сервер отключены, и где установка патча MS17-010 помогает предотвратить распространение WannaCry на незараженный ПК, если вышеупомянутые службы отключены? т.е. SMBv1, где эксплуатируется червевая часть этого вымогателя, больше не включен?

Пожалуйста, объясните, для меня полезно выяснить мою ошибку в случае, если я не установил патч MS17-010, потому что я нигде не устанавливал патч, я просто отключил клиент и сервер SMBv1 через реестр в групповой политике.

Исправляет ли патч ошибки в SMBv1, что позволяет мне снова включить SMBv1? Тем не менее Microsoft говорит, что не используйте SMBv1, так зачем мне беспокоиться об установке патча MS17-010? Пока патч MS17-010 не препятствует действию WannaCry ..

Я позвонил многим коллегам, многие из них все еще не понимают эту проблему и не знают, что с этим делать. Пожалуйста, не закрывайте этот вопрос, очень важно прямо прояснить этот вопрос и найти его непосредственно в поиске Google.

1 ответ1

3

Вам не нужен патч MS17-010, если вы отключите SMBv1

Как пояснили в Исполнительном резюме в бюллетене по безопасности Microsoft MS17-010:

Это обновление для системы безопасности устраняет уязвимости в Microsoft Windows. Наиболее серьезные из этих уязвимостей делают возможным удаленное выполнение кода, если злоумышленник отправляет специально созданные сообщения на сервер Microsoft Server Message Block 1.0 (SMBv1).

Это "специально созданное сообщение" - это эксплойт, известный как EternalBlue. Его роль в распространении WannaCry обсуждается в отличной публикации в блоге Cisco, посвященной анализу угроз. Вкратце:

Вредонос использует ETERNALBLUE для первоначальной эксплуатации уязвимости SMB.

Статья в Википедии, посвященная эксплойту EternalBlue, подтверждает, что уязвима уязвимость в реализации SMB версии 1:

EternalBlue использует уязвимость в реализации Microsoft протокола Server Message Block (SMB). Эта уязвимость обозначена записью CVE-2017-0144 в каталоге Common Vulnerabilities and Exposures (CVE). Уязвимость существует из-за того, что сервер SMB версии 1 (SMBv1) в различных версиях Microsoft Windows принимает специально созданные пакеты от удаленных злоумышленников, что позволяет им выполнять произвольный код на целевом компьютере. [Акцент мой.]

В итоге, если SMBv1 отключен на машине, то эксплойт EternalBlue невозможен, и WannaCry не может заразить машину через SMB.

Примечание. SMBv1 - единственная версия протокола, доступная в Windows Server 2003 и XP. Поэтому его отключение также полностью отключает обмен файлами в этих системах.


В любом случае установите патч MS17-010 !!

Да, вы должны прекратить использование SMBv1. Вы должны были перестать использовать его давным-давно. Но даже если вы отключите его, установите этот патч безопасности в любом случае.

Это НЕ является излишним. Это разумно. Если кто-то придет за вами и снова включит SMBv1, а система не будет исправлена, машина снова станет уязвимой для эксплойта, способного легко и незаметно скомпрометировать хост. И следующий парень может не знать о наземной шахте, которую он получил.

Вам не нужно, чтобы эта ответственность висела над любой машиной, за которую вы отвечаете.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .