O “wannacrypt” (wcrypt) pode se espalhar via servidor Linux servindo por SMB?

Navegue suas respostas
9

É possível, ou isso só se espalhará através de uma máquina Windows servindo em SMB?

Se o serviço do Linux sobre SMB puder espalhar o wannacrypt, qual é a abordagem a seguir?

    
por fredrik 13.05.2017 / 09:19

3 respostas

8

Em geral qualquer ransomware pode criptografar qualquer coisa que o usuário infectado tenha acesso, como qualquer outro malware pode gravar em qualquer lugar usando as permissões da conta que o executa. Isso não é igual a se tornar ativo para outros usuários, mas pode afetar todos os compartilhamentos aos quais o usuário tem acesso.

Contramedidas:

  • Prevenir com proteção contra vírus & firewall, como de costume.

  • Força todos os clientes a instalar atualizações regularmente.

  • Backups é a maneira mais poderosa de lidar com todos os ransomwares após a infecção. Eventualmente, alguns dos seus usuários terão um que ainda não foi reconhecido pela sua proteção contra vírus. Tenha um backup para o qual seus usuários não tenham acesso de gravação. Caso contrário, os backups são inúteis, porque o ransomware também possui acesso igual para gravar nos backups.

    Um backup offline é a maneira mais segura de conseguir isso, mas pode não ser muito prático, já que você precisa fazer mais manualmente, e lembre-se de fazê-lo regularmente.

    Normalmente, tenho uma máquina independente que usa credenciais separadas para acessar os locais dos quais será feito backup. Lá, eu tenho um backup incremental que pode armazenar as alterações durante semanas ou meses. É bom contra ransomware e erros de usuário.

O WannaCry está usando uma vulnerabilidade na implementação do SMB no Windows: o próprio protocolo não é vulnerável. De um artigo de notícia sobre MalwareLess : :

The WannaCry attacks are initiated using an SMBv2 remote code execution in Microsoft Windows OS. The EternalBlue exploit has been made publically available through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14. However, many companies and public organizations have not yet installed the patch to their systems.

O patch mencionado é MS17-010 , Atualização de segurança para o Microsoft Windows SMB Server ( 4013389 ):

This security update resolves vulnerabilities in Microsoft Windows. The most severe of the vulnerabilities could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.

Portanto, isso não afeta o Linux. O Windows também é seguro após instalar a atualização. No entanto, se ainda houver um computador cliente com um Windows sem patches, os dados em um compartilhamento podem não estar seguros.

    
por 13.05.2017 / 09:56
1

Encontrou isso, embora nenhuma fonte tenha sido fornecida para respaldar a reivindicação:

WannaCry exploits a set of flaws in Microsoft's implementation of the SMB1 protocol. Since these are implementation flaws rather than structural flaws in the protocol itself, Linux systems are immune. This is true regardless of if the systems are running Samba, Wine, or any other Windows-emulation layer.

https://security.stackexchange.com/a/159405

    
por 15.05.2017 / 07:47
0

Não, mas se você estiver preocupado ...

Outra coisa a fazer é desabilitar a capacidade dos clientes de conectar as portas de saída TCP 137, 139 e 445, e UDP 137, 138 à WAN no seu roteador.

Desta forma, você evita que seus PCs se conectem a servidores SMB não-LAN. Você também deve usar o firewall do Windows para impedir SMB pública / privada e permitir comunicação somente de domínio para os intervalos de sub-rede, se puder.

Instale finalmente a atualização e desative o SMB 1.0, se possível. Você não deve ter nada com que se preocupar se fizer isso.

    
por 15.05.2017 / 08:43

Tags

Problema do Windows 7 IIS Como fazer diretórios home centrais e contas de usuários no Ubuntu?