"Wannacrypt" (wcrypt) può diffondersi tramite server Linux che serve su SMB?


8

È possibile o si diffonderà solo tramite un computer Windows che serve SMB?

Se Linux che serve su SMB può diffondere wannacrypt, qual è l'approccio da adottare?


Sfiderei il presupposto che il vino non sia interessato. AFAIK Wine sta usando le DLL fornite, quindi questo dovrebbe essere accuratamente controllato.
byteborg,

WanaCrypt0r è stato eseguito con successo in Wine da un mod Ask Ubuntu: askubuntu.com/a/914954/271
Andrea Lazzarotto

Risposte:


8

In generale, qualsiasi ransomware può crittografare qualsiasi cosa a cui l'utente infetto abbia accesso, come qualsiasi altro malware può scrivere ovunque usando le autorizzazioni dell'account che lo esegue. Ciò non equivale a diventare attivo per altri utenti, ma può influire su tutte le condivisioni a cui l'utente ha accesso.

Contromisure:

  • Prevenire con la protezione da virus e firewall, come al solito.

  • Forzare tutti i client a installare gli aggiornamenti regolarmente.

  • I backup sono il modo più potente per gestire tutti i ransomware dopo l'infezione. Alla fine alcuni dei tuoi utenti ne avranno uno che non è stato ancora riconosciuto dalla tua protezione antivirus. Avere un backup a cui i tuoi utenti non hanno accesso in scrittura. Altrimenti i backup sono inutili, perché anche il ransomware ha lo stesso accesso per scrivere sui backup.

    Un backup offline è il modo più sicuro per raggiungere questo obiettivo, ma potrebbe non essere molto pratico in quanto è necessario fare di più manualmente e ricordarsi di farlo regolarmente.

    Di solito ho una macchina indipendente che utilizza credenziali separate per accedere alle posizioni di cui eseguire il backup. Lì, ho un backup incrementale in grado di memorizzare eventuali modifiche nel corso di settimane o mesi. È buono contro ransomware ed errori dell'utente.


WannaCry utilizza una vulnerabilità nell'implementazione di SMB in Windows: il protocollo stesso non è vulnerabile. Da un articolo di notizie su MalwareLess :

Gli attacchi WannaCry vengono avviati utilizzando un'esecuzione di codice remoto SMBv2 nel sistema operativo Microsoft Windows. L'exploit di EternalBlue è stato reso pubblicamente disponibile tramite il dump di Shadowbrokers il 14 aprile 2017 e aggiornato da Microsoft il 14 marzo. Tuttavia, molte aziende e organizzazioni pubbliche non hanno ancora installato la patch sui propri sistemi.

La patch citata è MS17-010 , aggiornamento della sicurezza per Microsoft Windows SMB Server ( 4013389 ):

Questo aggiornamento per la protezione risolve le vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato invia messaggi appositamente predisposti a un server Microsoft Server Message Block 1.0 (SMBv1).

Pertanto, non influisce su Linux. Windows è anche sicuro dopo l'installazione dell'aggiornamento. Tuttavia, se esiste ancora un computer client con Windows senza patch, i dati su una condivisione potrebbero non essere al sicuro.


Con "in generale" intendo che non dovresti concentrarti su ciò che un singolo ransomware è in grado di fare attualmente. Il ransomware si evolve e gli utenti potrebbero essere infettati da altri ransomware.
Esa Jokinen,

Grazie - anche se hai ragione, questo non ha veramente risposto alla mia domanda iniziale sul fatto che la wannacry si diffonda solo tramite SMBv1 su Windows.
Fredrik,

Se hai trovato una risposta, puoi aggiungere la citazione come risposta invece di modificare la domanda originale. Tuttavia, anche se la parte worm del malware non è stata in grado di diffondersi utilizzando l'implementazione di Microsoft, il che significa che il protocollo stesso non è il problema, i dati non possono essere considerati sicuri.
Esa Jokinen,

1

Trovato questo, sebbene non sia stata fornita alcuna fonte per il backup del reclamo:

WannaCry sfrutta una serie di difetti nell'implementazione di Microsoft del protocollo SMB1. Poiché questi sono difetti di implementazione piuttosto che difetti strutturali nel protocollo stesso, i sistemi Linux sono immuni. Ciò vale indipendentemente dal fatto che i sistemi eseguano Samba, Wine o qualsiasi altro livello di emulazione di Windows.

https://security.stackexchange.com/a/159405


commenti successivi mostrano che l'immunità di Linux non è perfetta
schroeder

0

No, ma se sei preoccupato ...

Un'altra cosa da fare è disabilitare la capacità dei client di connettere le porte in uscita TCP 137, 139 e 445 e UDP 137, 138 a WAN sul router.

In questo modo si impedisce ai PC di connettersi a server SMB non LAN. Dovresti anche usare il firewall di Windows per prevenire le PMI pubbliche / private e consentire la comunicazione solo di dominio per i tuoi intervalli di sottorete, se puoi.

Installare l'aggiornamento finnally e disabilitare SMB 1.0 se possibile. Non dovresti avere nulla di cui preoccuparti se lo fai.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.