Qual é a implicação do patch MS17-010 e da desativação do SMBv1 relacionada ao WannaCry? Ele remove o malware ou apenas impede sua propagação?

Pesquisei muito sobre isso, mas não consegui encontrar a resposta.

Gostaria de entender se o patch do Windows com a atualização MS17-010 impedirá a instalação / execução do malware WannaCry ou apenas impede que o malware (depois de instalado em um determinado PC e, portanto, infectá-lo) seja propagado pela intranet?

Além disso, se o patch MS17-010 estiver instalado corretamente, também existem benefícios em desativar o SMBv1? Ou o patch MS17-010 em si pode ser considerado suficiente?

Última pergunta / dúvida: antes de desativar o SMBv1, como ter certeza de que isso não afetará o desempenho / confiabilidade da rede?

Primeiro, um pequeno prefácio. O patch MS17-010 está incluído em todos os pacotes cumulativos de atualizações para Windows 7, 8.1 e 10 a partir de março. Portanto, se você tiver as atualizações cumulativas de abril ou maio (ou mais recentes) instaladas, não precisará (e não terá instalado) o número de KB específico vinculado ao patch MS17-010.

No entanto, se você optou por instalar apenas atualizações somente de segurança , precisará especificamente instalar a de março. A menos que você tenha escolhido esse caminho especificamente, você deve estar nos rollups. A aposta mais segura é permitir que o Windows atualize tudo até que ele esteja atualizado.

^{Este é realmente o caso de todos os patches de segurança agora, não apenas este.}

impedirá a instalação / execução do malware WannaCry

O patch MS17-010 não faz nada para parar o próprio ransomware. Se você baixar o exe e executá-lo, ele ainda funcionará e criptografará seus arquivos. Por exemplo, o principal vetor de infecção na maioria das redes era através de anexos de email, IIRC. Isso não é novidade para o ransomware.

No entanto, a parte do worm do programa é o que facilita a sua disseminação pelas redes. Este ataques a implementação SMBv1 no destino computador, ou seja, o computador do worm está se espalhando para , não a partir de .. Portanto, o patch MS17-010 deve ser instalado cada máquina Windows na rede.

Geralmente, NAT ou firewalls na borda da rede impedem a propagação pela Internet.

apenas impeça a propagação do malware (uma vez instalado em um determinado PC e, portanto, infectando-o) pela intranet

O patch não faz nada para ajudar um computador já infectado. Só é útil se instalado em outros computadores não infectados da rede.

existem benefícios em desativar o SMBv1 também?

Não diretamente para o WannaCry / EternalBlue, pois o patch MS17-010 corrige esse buraco específico. No entanto, a defesa em profundidade sugeriria desativar o SMBv1 de qualquer maneira, a menos que você precise, pois reduz as superfícies de ataque e minimiza os danos caso ocorra outro bug do SMBv1 atualmente desconhecido. Dado que o Vista e os mais novos oferecem suporte ao SMBv2, não será necessário manter o SMBv1 ativado, a menos que você precise compartilhar arquivos com o XP. Espero que não seja esse o caso.

Antes de desativar o SMBv1, como ter certeza de que isso não afetará o desempenho / confiabilidade da rede?

O efeito mais óbvio é que você não poderá mais usar o compartilhamento de arquivos do Windows com nenhum sistema XP.

Conforme a gravidade do link postada e os comentários, isso pode impedir que o seu computador apareça na lista "rede" ou use-a. Você ainda pode acessá-los digitando \\computernamee vê-los listados usando grupos domésticos (ou Active Directory em um ambiente de negócios).

A outra exceção mencionada nessa postagem do blog são fotocopiadoras / scanners de rede mais antigos que possuem a funcionalidade "digitalizar para compartilhar" podem não suportar um protocolo SMB moderno.