Quali sono le implicazioni della patch MS17-010 e della disattivazione SMBv1 relative a WannaCry? Rimuove il malware o semplicemente ne impedisce la propagazione?


9

Ho cercato su Google molto su questo, ma non sono riuscito a trovare la risposta.

Vorrei capire se l'applicazione di patch di Windows con l' aggiornamento MS17-010 impedirà l'installazione / esecuzione del malware WannaCry o semplicemente la propagazione del malware (una volta installato su un determinato PC e quindi infettandolo) attraverso la rete Intranet?

Inoltre, se la patch MS17-010 è installata correttamente, ci sono dei vantaggi nel disabilitare anche SMBv1? O la patch MS17-010 stessa può essere considerata abbastanza?

Ultima domanda / dubbio: prima di disabilitare SMBv1, come assicurarsi che ciò non influisca sulle prestazioni / affidabilità della rete?


2
Parola ufficiale del team di archiviazione di Microsoft su SMBv1: smettere di usare SMBv1.
user1686

Grazie @grawity, questo ha chiarito definitivamente i miei dubbi sulla disabilitazione di SMBv1.
Antonio,

Risposte:


11

Innanzitutto, una piccola prefazione. La patch MS17-010 è inclusa in tutti gli aggiornamenti cumulativi per Windows 7, 8.1 e 10 da marzo in poi. Quindi se hai installato gli aggiornamenti cumulativi di aprile o maggio (o più recenti) , non è necessario (e non avrai installato) il numero KB specifico collegato alla patch MS17-010.

Tuttavia, se hai scelto di installare solo aggiornamenti solo per la sicurezza , dovrai specificamente installare quello di marzo. A meno che tu non abbia scelto specificamente questo percorso, dovresti essere nei rollup. La scommessa più sicura è solo quella di consentire a Windows di aggiornare tutto fino a quando non viene aggiornato.

Questo è attualmente il caso di tutte le patch di sicurezza, non solo di questa.

impedirà l'installazione / esecuzione di malware WannaCry

La patch MS17-010 non fa nulla per fermare il ransomware stesso. Se scarichi l'exe ed eseguilo, farà comunque il suo lavoro e crittograferà i tuoi file. Ad esempio, il vettore di infezione principale sulla maggior parte delle reti era tramite allegati di posta elettronica, IIRC. Questa non è una novità per il ransomware.

Tuttavia, la parte worm del programma è ciò che facilita la sua diffusione attraverso le reti. Questo attacca l'attuazione SMBv1 sulla destinazione del computer, vale a dire il computer il worm si sta diffondendo a , non da .. Pertanto, la patch MS17-010 devono essere installati ogni macchina Windows sulla rete.

In genere, NAT o firewall ai margini della rete impediscono la diffusione su Internet.

basta impedire al malware (una volta installato su un determinato PC e quindi di infettarlo) di propagarsi attraverso la rete intranet

La patch non fa nulla per aiutare un computer già infetto. È utile solo se installato su altri computer non infetti sulla rete.

ci sono dei vantaggi nel disabilitare anche SMBv1?

Non direttamente per WannaCry / EternalBlue, poiché la patch MS17-010 risolve questo particolare buco. Tuttavia, la difesa in profondità suggerirebbe comunque di disabilitare SMBv1 a meno che non sia necessario, in quanto riduce le superfici di attacco e minimizza i danni in caso di un altro bug SMBv1 attualmente sconosciuto. Dato che Vista e le versioni più recenti supportano SMBv2, non dovrebbe essere necessario mantenere abilitato SMBv1 a meno che non sia necessario condividere file con XP. Spero non sia così.

prima di disabilitare SMBv1, come assicurarsi che ciò non influisca sulle prestazioni / affidabilità della rete?

L'effetto più evidente è che non sarai più in grado di utilizzare la condivisione di file Windows con nessun sistema XP.

Secondo il grawity del link pubblicato e i commenti lì, questo potrebbe impedire al tuo computer di comparire o utilizzare l'elenco "rete". Puoi ancora accedervi digitando \\computernamee vederli elencati utilizzando i gruppi home (o Active Directory in un ambiente aziendale).

L'altra eccezione, come indicato in quel post sul blog, è rappresentata dalle fotocopiatrici / scanner di rete meno recenti che dispongono della funzionalità "scan to share" potrebbe non supportare un protocollo SMB moderno.


Grazie mille Bob. A quanto ho capito, sia la patch MS17-010 che la disattivazione SMBv1 sono utili per impedire a un altro PC di infettare il mio sulla stessa rete. Quindi quale approccio potrebbe essere utilizzato per rilevare WannaCry (o simili) in tempo per impedirne l'installazione direttamente sul mio PC (ad es. Dall'allegato di posta)? Malwarebytes o qualsiasi altro programma antivirus aggiornato è sufficiente? C'è un'utilità specifica che consiglieresti?
Antonio,

@Antony Sfortunatamente, non c'è modo di coprire tutte le basi. Un programma antivirus in tempo reale ti darebbe un certo livello di protezione, ma credo che l'unica buona soluzione sia quella di fare in modo che l'utente faccia attenzione a ciò che aprono - alla fine, quelle e-mail sono un attacco attraverso l'umano. E, naturalmente, avere backup (disconnesso dal PC, ad es. Su un HDD portatile, o Crashplan / Backblaze se la tua connessione Internet è abbastanza buona) ti aiuterà a recuperare da un simile attacco se uno capita di entrare da un altro bug.
Bob,

@Antony Giusto per essere chiari: i programmi antivirus / malware sono utili contro attacchi noti per i quali riconoscono una firma, ma impiegheranno del tempo prima di poter rilevare l'attacco più recente. C'è anche un rilevamento basato sull'euristica ma questo è inaffidabile.
Bob,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.