Jakie są konsekwencje łatki MS17-010 i dezaktywacji SMBv1 związanych z WannaCry? Czy usuwa złośliwe oprogramowanie, czy po prostu powstrzymuje jego rozprzestrzenianie się?

Dużo o tym pisałem w Google, ale nie mogłem znaleźć odpowiedzi.

Chciałbym zrozumieć, czy łatanie systemu Windows za pomocą aktualizacji MS17-010 uniemożliwi instalowanie / uruchamianie złośliwego oprogramowania WannaCry, czy po prostu zapobiegnie rozprzestrzenianiu się złośliwego oprogramowania (po zainstalowaniu na określonym komputerze, a tym samym jego zainfekowaniu) przez intranet?

Ponadto, jeśli poprawka MS17-010 jest poprawnie zainstalowana, czy są jakieś korzyści z wyłączenia SMBv1? Czy sama łatka MS17-010 może być uważana za wystarczającą?

Ostatnie pytanie / wątpliwości: przed wyłączeniem SMBv1, jak się upewnić, że nie wpłynie to na wydajność / niezawodność sieci?

Najpierw mała wstęp. Poprawka MS17-010 jest zawarta we wszystkich pakietach aktualizacji dla Windows 7, 8.1 i 10 od marca. Jeśli więc masz zainstalowane aktualizacje zbiorcze z kwietnia lub maja (lub nowsze) , nie potrzebujesz (i nie zainstalujesz) konkretnego numeru KB powiązanego z poprawką MS17-010.

Jeśli jednak zdecydujesz się zainstalować tylko aktualizacje tylko z zakresu bezpieczeństwa , musisz zainstalować tę z marca. Jeśli nie wybrałeś konkretnie tej ścieżki, powinieneś znajdować się w zestawieniach. Najbezpieczniej jest pozwolić Windowsowi aktualizować wszystko, dopóki nie zostanie stwierdzone, że jest aktualne.

^{Tak jest teraz w przypadku wszystkich poprawek zabezpieczeń, nie tylko tej.}

zapobiegnie instalowaniu / uruchamianiu złośliwego oprogramowania WannaCry

Poprawka MS17-010 nie powstrzymuje samego oprogramowania ransomware. Jeśli pobierzesz plik exe i uruchomisz go, nadal będzie działał i szyfrował twoje pliki. Na przykład głównym wektorem infekcji w większości sieci były załączniki e-mail, IIRC. To nie jest nic nowego dla oprogramowania ransomware.

Jednak część robaka programu ułatwia rozprzestrzenianie się w sieciach. Atakuje to implementację SMBv1 na komputerze docelowym , tj. Na komputerze, na który rozprzestrzenia się robak , a nie z … Dlatego łatka MS17-010 musi być zainstalowana na każdym komputerze z systemem Windows w sieci.

Zasadniczo NAT lub zapory ogniowe na brzegu sieci zapobiegają rozprzestrzenianiu się w Internecie.

po prostu zapobiegaj rozprzestrzenianiu się złośliwego oprogramowania (raz zainstalowanego na określonym komputerze, a tym samym zainfekowania go) przez intranet

Łatka nic nie pomaga już zainfekowanemu komputerowi. Przydaje się tylko, jeśli jest zainstalowany na innych niezainfekowanych komputerach w sieci.

czy są jakieś korzyści z wyłączenia SMBv1?

Nie bezpośrednio dla WannaCry / EternalBlue, ponieważ łatka MS17-010 naprawia ten konkretny otwór. Jednak głęboka obrona sugerowałaby wyłączenie SMBv1, chyba że jest to potrzebne, ponieważ zmniejsza powierzchnię ataku i minimalizuje obrażenia, gdyby pojawił się inny nieznany obecnie błąd SMBv1. Biorąc pod uwagę, że Vista i nowsze obsługują SMBv2, nie powinno być potrzeby włączania SMBv1, chyba że trzeba udostępniać pliki XP. Mam nadzieję, że tak nie jest.

przed wyłączeniem SMBv1, jak się upewnić, że nie wpłynie to na wydajność / niezawodność sieci?

Najbardziej oczywistym efektem jest to, że nie będziesz już mógł korzystać z udostępniania plików Windows w żadnym systemie XP.

Zgodnie z zamieszczonym linkiem grawity i zamieszczonymi tam komentarzami może to uniemożliwić komputerowi pojawienie się na liście „sieci” lub korzystanie z niej. Nadal możesz uzyskać do nich dostęp, wpisując \\computernamei wyświetlając je na liście za pomocą grup domowych (lub usługi Active Directory w środowisku biznesowym).

Innym wyjątkiem, o którym wspomniano w tym poście na blogu, są starsze sieciowe kserokopiarki / skanery, które mają funkcję „skanuj, aby udostępnić”, mogą nie obsługiwać nowoczesnego protokołu SMB.