Quali sono le implicazioni della patch MS17-010 e della disattivazione SMBv1 relative a WannaCry? Rimuove il malware o semplicemente ne impedisce la propagazione?

Ho cercato su Google molto su questo, ma non sono riuscito a trovare la risposta.

Vorrei capire se l'applicazione di patch di Windows con l' aggiornamento MS17-010 impedirà l'installazione / esecuzione del malware WannaCry o semplicemente la propagazione del malware (una volta installato su un determinato PC e quindi infettandolo) attraverso la rete Intranet?

Inoltre, se la patch MS17-010 è installata correttamente, ci sono dei vantaggi nel disabilitare anche SMBv1? O la patch MS17-010 stessa può essere considerata abbastanza?

Ultima domanda / dubbio: prima di disabilitare SMBv1, come assicurarsi che ciò non influisca sulle prestazioni / affidabilità della rete?

Innanzitutto, una piccola prefazione. La patch MS17-010 è inclusa in tutti gli aggiornamenti cumulativi per Windows 7, 8.1 e 10 da marzo in poi. Quindi se hai installato gli aggiornamenti cumulativi di aprile o maggio (o più recenti) , non è necessario (e non avrai installato) il numero KB specifico collegato alla patch MS17-010.

Tuttavia, se hai scelto di installare solo aggiornamenti solo per la sicurezza , dovrai specificamente installare quello di marzo. A meno che tu non abbia scelto specificamente questo percorso, dovresti essere nei rollup. La scommessa più sicura è solo quella di consentire a Windows di aggiornare tutto fino a quando non viene aggiornato.

^{Questo è attualmente il caso di tutte le patch di sicurezza, non solo di questa.}

impedirà l'installazione / esecuzione di malware WannaCry

La patch MS17-010 non fa nulla per fermare il ransomware stesso. Se scarichi l'exe ed eseguilo, farà comunque il suo lavoro e crittograferà i tuoi file. Ad esempio, il vettore di infezione principale sulla maggior parte delle reti era tramite allegati di posta elettronica, IIRC. Questa non è una novità per il ransomware.

Tuttavia, la parte worm del programma è ciò che facilita la sua diffusione attraverso le reti. Questo attacca l'attuazione SMBv1 sulla destinazione del computer, vale a dire il computer il worm si sta diffondendo a , non da .. Pertanto, la patch MS17-010 devono essere installati ogni macchina Windows sulla rete.

In genere, NAT o firewall ai margini della rete impediscono la diffusione su Internet.

basta impedire al malware (una volta installato su un determinato PC e quindi di infettarlo) di propagarsi attraverso la rete intranet

La patch non fa nulla per aiutare un computer già infetto. È utile solo se installato su altri computer non infetti sulla rete.

ci sono dei vantaggi nel disabilitare anche SMBv1?

Non direttamente per WannaCry / EternalBlue, poiché la patch MS17-010 risolve questo particolare buco. Tuttavia, la difesa in profondità suggerirebbe comunque di disabilitare SMBv1 a meno che non sia necessario, in quanto riduce le superfici di attacco e minimizza i danni in caso di un altro bug SMBv1 attualmente sconosciuto. Dato che Vista e le versioni più recenti supportano SMBv2, non dovrebbe essere necessario mantenere abilitato SMBv1 a meno che non sia necessario condividere file con XP. Spero non sia così.

prima di disabilitare SMBv1, come assicurarsi che ciò non influisca sulle prestazioni / affidabilità della rete?

L'effetto più evidente è che non sarai più in grado di utilizzare la condivisione di file Windows con nessun sistema XP.

Secondo il grawity del link pubblicato e i commenti lì, questo potrebbe impedire al tuo computer di comparire o utilizzare l'elenco "rete". Puoi ancora accedervi digitando \\computernamee vederli elencati utilizzando i gruppi home (o Active Directory in un ambiente aziendale).

L'altra eccezione, come indicato in quel post sul blog, è rappresentata dalle fotocopiatrici / scanner di rete meno recenti che dispongono della funzionalità "scan to share" potrebbe non supportare un protocollo SMB moderno.