Jakie są konsekwencje łatki MS17-010 i dezaktywacji SMBv1 związanych z WannaCry? Czy usuwa złośliwe oprogramowanie, czy po prostu powstrzymuje jego rozprzestrzenianie się?

9

Dużo o tym pisałem w Google, ale nie mogłem znaleźć odpowiedzi.

Chciałbym zrozumieć, czy łatanie systemu Windows za pomocą aktualizacji MS17-010 uniemożliwi instalowanie / uruchamianie złośliwego oprogramowania WannaCry, czy po prostu zapobiegnie rozprzestrzenianiu się złośliwego oprogramowania (po zainstalowaniu na określonym komputerze, a tym samym jego zainfekowaniu) przez intranet?

Ponadto, jeśli poprawka MS17-010 jest poprawnie zainstalowana, czy są jakieś korzyści z wyłączenia SMBv1? Czy sama łatka MS17-010 może być uważana za wystarczającą?

Ostatnie pytanie / wątpliwości: przed wyłączeniem SMBv1, jak się upewnić, że nie wpłynie to na wydajność / niezawodność sieci?

Antony
źródło
2
Oficjalne słowo od zespołu pamięci masowej Microsoft dotyczące SMBv1: Przestań używać SMBv1.
user1686
Dziękuję @grawity, co zdecydowanie wyjaśniło moje wątpliwości dotyczące wyłączenia SMBv1.
Antony

Odpowiedzi:

11

Najpierw mała wstęp. Poprawka MS17-010 jest zawarta we wszystkich pakietach aktualizacji dla Windows 7, 8.1 i 10 od marca. Jeśli więc masz zainstalowane aktualizacje zbiorcze z kwietnia lub maja (lub nowsze) , nie potrzebujesz (i nie zainstalujesz) konkretnego numeru KB powiązanego z poprawką MS17-010.

Jeśli jednak zdecydujesz się zainstalować tylko aktualizacje tylko z zakresu bezpieczeństwa , musisz zainstalować tę z marca. Jeśli nie wybrałeś konkretnie tej ścieżki, powinieneś znajdować się w zestawieniach. Najbezpieczniej jest pozwolić Windowsowi aktualizować wszystko, dopóki nie zostanie stwierdzone, że jest aktualne.

Tak jest teraz w przypadku wszystkich poprawek zabezpieczeń, nie tylko tej.

zapobiegnie instalowaniu / uruchamianiu złośliwego oprogramowania WannaCry

Poprawka MS17-010 nie powstrzymuje samego oprogramowania ransomware. Jeśli pobierzesz plik exe i uruchomisz go, nadal będzie działał i szyfrował twoje pliki. Na przykład głównym wektorem infekcji w większości sieci były załączniki e-mail, IIRC. To nie jest nic nowego dla oprogramowania ransomware.

Jednak część robaka programu ułatwia rozprzestrzenianie się w sieciach. Atakuje to implementację SMBv1 na komputerze docelowym , tj. Na komputerze, na który rozprzestrzenia się robak , a nie z … Dlatego łatka MS17-010 musi być zainstalowana na każdym komputerze z systemem Windows w sieci.

Zasadniczo NAT lub zapory ogniowe na brzegu sieci zapobiegają rozprzestrzenianiu się w Internecie.

po prostu zapobiegaj rozprzestrzenianiu się złośliwego oprogramowania (raz zainstalowanego na określonym komputerze, a tym samym zainfekowania go) przez intranet

Łatka nic nie pomaga już zainfekowanemu komputerowi. Przydaje się tylko, jeśli jest zainstalowany na innych niezainfekowanych komputerach w sieci.

czy są jakieś korzyści z wyłączenia SMBv1?

Nie bezpośrednio dla WannaCry / EternalBlue, ponieważ łatka MS17-010 naprawia ten konkretny otwór. Jednak głęboka obrona sugerowałaby wyłączenie SMBv1, chyba że jest to potrzebne, ponieważ zmniejsza powierzchnię ataku i minimalizuje obrażenia, gdyby pojawił się inny nieznany obecnie błąd SMBv1. Biorąc pod uwagę, że Vista i nowsze obsługują SMBv2, nie powinno być potrzeby włączania SMBv1, chyba że trzeba udostępniać pliki XP. Mam nadzieję, że tak nie jest.

przed wyłączeniem SMBv1, jak się upewnić, że nie wpłynie to na wydajność / niezawodność sieci?

Najbardziej oczywistym efektem jest to, że nie będziesz już mógł korzystać z udostępniania plików Windows w żadnym systemie XP.

Zgodnie z zamieszczonym linkiem grawity i zamieszczonymi tam komentarzami może to uniemożliwić komputerowi pojawienie się na liście „sieci” lub korzystanie z niej. Nadal możesz uzyskać do nich dostęp, wpisując \\computernamei wyświetlając je na liście za pomocą grup domowych (lub usługi Active Directory w środowisku biznesowym).

Innym wyjątkiem, o którym wspomniano w tym poście na blogu, są starsze sieciowe kserokopiarki / skanery, które mają funkcję „skanuj, aby udostępnić”, mogą nie obsługiwać nowoczesnego protokołu SMB.

Kok
źródło
Dziękuję bardzo Bob. Jak rozumiem, zarówno łatka MS17-010, jak i dezaktywacja SMBv1 są przydatne, aby zapobiec zainfekowaniu mojego komputera przez inny komputer w tej samej sieci. Więc jakie podejście można zastosować do wykrycia WannaCry (lub podobnego) na czas, aby zapobiec jego bezpośredniej instalacji na moim komputerze (np. Z załącznika do wiadomości)? Czy Malwarebytes lub inny aktualny program antywirusowy wystarczy? Czy jest jakieś konkretne narzędzie, które poradziłbyś?
Antony
@Antony Niestety nie ma żadnego sposobu na objęcie wszystkich baz. Program antywirusowy w czasie rzeczywistym zapewniłby ci pewien poziom ochrony, ale uważam, że jedynym dobrym rozwiązaniem jest, aby użytkownik uważał na to, co otwierają - pod koniec dnia te e-maile są atakiem przez człowieka. I oczywiście posiadanie kopii zapasowych (odłączonych od komputera, np. Na przenośnym dysku twardym lub Crashplan / Backblaze, jeśli twoje połączenie internetowe jest wystarczająco dobre) pomoże ci wyzdrowieć po takim ataku, jeśli ktoś dostanie się przez inny błąd.
Bob
@Antony Dla jasności - programy antywirusowe / złośliwe oprogramowanie są przydatne w przypadku znanych ataków, dla których rozpoznają sygnaturę, ale wykrycie najnowszego ataku zajmie trochę czasu. Istnieje również wykrywanie oparte na heurystyce, ale jest to niewiarygodne.
Bob