Se o cliente / servidor SMBv1 estiver desabilitado, ainda preciso do patch MS17-010?

Navegue suas respostas
1

Eu não entendo este aqui:

Há coisas contraditórias que li sobre como atenuar o incidente WannaCry, alguns dizem que se o cliente SMBv1 e o servidor estiverem desativados, o patch MS17-010 NÃO é necessário, outros dizem que mesmo que o cliente e servidor SMBv1 estejam desativados, o patch MS17-010 é Ainda é necessário.

Então, eu realmente não entendo a quem devo ouvir, se o cliente e o servidor SMBv1 estão desabilitados, onde instalar o patch MS17-010 ajuda a impedir que o WannaCry se espalhe para um PC não infectado, desde que o já mencionado os serviços estão desabilitados, ou seja, o SMBv1, onde a parte de worm deste ransomware está sendo explorada, não está mais habilitado?

Por favor, explique, é útil para mim descobrir meu erro caso eu não tenha instalado o patch MS17-010, porque eu não instalei o patch em nenhum lugar, apenas desabilitei o cliente e servidor SMBv1 através do registro na política de grupo.

O patch conserta erros no SMBv1 que me permite reativar o SMBv1? Ainda microsoft diz não usar SMBv1, então por que eu iria me preocupar com a instalação do patch MS17-010? Contanto que o patch MS17-010 não impeça a ação do WannaCry também.

Liguei para muitos colegas, muitos deles ainda estão confusos sobre esse assunto e não sabem o que fazer sobre isso. Por favor, não feche esta questão, é muito importante esclarecer diretamente este problema e encontrá-lo diretamente na pesquisa do Google.

    
por elekgeek 01.06.2017 / 03:04

1 resposta

3

Você não precisa do patch MS17-010 se desabilitar o SMBv1

Conforme explicado no Resumo executivo do Boletim de Segurança da Microsoft MS17-010 :

This security update resolves vulnerabilities in Microsoft Windows. The most severe of the vulnerabilities could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.

Esta "mensagem especialmente criada" é uma exploração conhecida como EternalBlue. Seu papel na disseminação do WannaCry é discutido na excelente postagem do blog sobre da equipe de inteligência em ameaças da Cisco sobre o ransomware . Em resumo:

The malware uses ETERNALBLUE for the initial exploitation of the SMB vulnerability.

O artigo da Wikipedia para a exploração EternalBlue confirma que é a versão 1 da implementação do SMB da Microsoft. vulnerável:

EternalBlue exploits a vulnerability in Microsoft's implementation of the Server Message Block (SMB) protocol. This vulnerability is denoted by entry CVE-2017-0144 in the Common Vulnerabilities and Exposures (CVE) catalog. The vulnerability exists because the SMB version 1 (SMBv1) server in various versions of Microsoft Windows accepts specially crafted packets from remote attackers, allowing them to execute arbitrary code on the target computer. [Emphasis mine.]

Resumindo, se o SMBv1 estiver desativado em uma máquina, a exploração EternalBlue não será possível e o WannaCry não poderá infectar a máquina sobre o SMB .

Observação: o SMBv1 é a única versão do protocolo disponível no Windows Server 2003 e XP. Portanto, desativá-lo também desativa totalmente o compartilhamento de arquivos nesses sistemas.

Instale o patch MS17-010 mesmo assim !!

Sim, você deve parar de usar o SMBv1. Você deveria ter parado de usá-lo há muito tempo. Mas mesmo Se você desativá-lo, instale este patch de segurança mesmo assim.

Isso NÃO é redundante. É prudente. Caso alguém venha atrás de você e reative o SMBv1 e o sistema não seja corrigido, a máquina ficará novamente vulnerável a uma exploração que seja capaz de comprometer o host facilmente e de maneira não detectada. E o próximo cara pode não estar ciente da mina que ele está habilitado.

Você não precisa dessa responsabilidade sobre qualquer máquina pela qual seja responsável.

    
por 01.06.2017 / 06:06

Tags

Salve imagens de tamanhos diferentes como um pdf Windows 10 - Onde posso baixar a versão mais recente do CBB / Semi- Anual do Canal?