È possibile o si diffonderà solo tramite un computer Windows che serve SMB?
Se Linux che serve su SMB può diffondere wannacrypt, qual è l'approccio da adottare?
È possibile o si diffonderà solo tramite un computer Windows che serve SMB?
Se Linux che serve su SMB può diffondere wannacrypt, qual è l'approccio da adottare?
Risposte:
In generale, qualsiasi ransomware può crittografare qualsiasi cosa a cui l'utente infetto abbia accesso, come qualsiasi altro malware può scrivere ovunque usando le autorizzazioni dell'account che lo esegue. Ciò non equivale a diventare attivo per altri utenti, ma può influire su tutte le condivisioni a cui l'utente ha accesso.
Contromisure:
Prevenire con la protezione da virus e firewall, come al solito.
Forzare tutti i client a installare gli aggiornamenti regolarmente.
I backup sono il modo più potente per gestire tutti i ransomware dopo l'infezione. Alla fine alcuni dei tuoi utenti ne avranno uno che non è stato ancora riconosciuto dalla tua protezione antivirus. Avere un backup a cui i tuoi utenti non hanno accesso in scrittura. Altrimenti i backup sono inutili, perché anche il ransomware ha lo stesso accesso per scrivere sui backup.
Un backup offline è il modo più sicuro per raggiungere questo obiettivo, ma potrebbe non essere molto pratico in quanto è necessario fare di più manualmente e ricordarsi di farlo regolarmente.
Di solito ho una macchina indipendente che utilizza credenziali separate per accedere alle posizioni di cui eseguire il backup. Lì, ho un backup incrementale in grado di memorizzare eventuali modifiche nel corso di settimane o mesi. È buono contro ransomware ed errori dell'utente.
WannaCry utilizza una vulnerabilità nell'implementazione di SMB in Windows: il protocollo stesso non è vulnerabile. Da un articolo di notizie su MalwareLess :
Gli attacchi WannaCry vengono avviati utilizzando un'esecuzione di codice remoto SMBv2 nel sistema operativo Microsoft Windows. L'exploit di EternalBlue è stato reso pubblicamente disponibile tramite il dump di Shadowbrokers il 14 aprile 2017 e aggiornato da Microsoft il 14 marzo. Tuttavia, molte aziende e organizzazioni pubbliche non hanno ancora installato la patch sui propri sistemi.
La patch citata è MS17-010 , aggiornamento della sicurezza per Microsoft Windows SMB Server ( 4013389 ):
Questo aggiornamento per la protezione risolve le vulnerabilità in Microsoft Windows. La più grave delle vulnerabilità potrebbe consentire l'esecuzione di codice in modalità remota se un utente malintenzionato invia messaggi appositamente predisposti a un server Microsoft Server Message Block 1.0 (SMBv1).
Pertanto, non influisce su Linux. Windows è anche sicuro dopo l'installazione dell'aggiornamento. Tuttavia, se esiste ancora un computer client con Windows senza patch, i dati su una condivisione potrebbero non essere al sicuro.
Trovato questo, sebbene non sia stata fornita alcuna fonte per il backup del reclamo:
WannaCry sfrutta una serie di difetti nell'implementazione di Microsoft del protocollo SMB1. Poiché questi sono difetti di implementazione piuttosto che difetti strutturali nel protocollo stesso, i sistemi Linux sono immuni. Ciò vale indipendentemente dal fatto che i sistemi eseguano Samba, Wine o qualsiasi altro livello di emulazione di Windows.
No, ma se sei preoccupato ...
Un'altra cosa da fare è disabilitare la capacità dei client di connettere le porte in uscita TCP 137, 139 e 445 e UDP 137, 138 a WAN sul router.
In questo modo si impedisce ai PC di connettersi a server SMB non LAN. Dovresti anche usare il firewall di Windows per prevenire le PMI pubbliche / private e consentire la comunicazione solo di dominio per i tuoi intervalli di sottorete, se puoi.
Installare l'aggiornamento finnally e disabilitare SMB 1.0 se possibile. Non dovresti avere nulla di cui preoccuparti se lo fai.