Qual é a implicação do patch MS17-010 e da desativação do SMBv1 relacionada ao WannaCry? Ele remove o malware ou apenas impede sua propagação?


9

Pesquisei muito sobre isso, mas não consegui encontrar a resposta.

Gostaria de entender se o patch do Windows com a atualização MS17-010 impedirá a instalação / execução do malware WannaCry ou apenas impede que o malware (depois de instalado em um determinado PC e, portanto, infectá-lo) seja propagado pela intranet?

Além disso, se o patch MS17-010 estiver instalado corretamente, também existem benefícios em desativar o SMBv1? Ou o patch MS17-010 em si pode ser considerado suficiente?

Última pergunta / dúvida: antes de desativar o SMBv1, como ter certeza de que isso não afetará o desempenho / confiabilidade da rede?


2
Palavra oficial da equipe de armazenamento da Microsoft sobre o SMBv1: Pare de usar o SMBv1.
User1686 20/05

Obrigado @grawity, que definitivamente esclareceu minhas dúvidas sobre a desativação do SMBv1.
Antony

Respostas:


11

Primeiro, um pequeno prefácio. O patch MS17-010 está incluído em todos os pacotes cumulativos de atualizações para Windows 7, 8.1 e 10 a partir de março. Portanto, se você tiver as atualizações cumulativas de abril ou maio (ou mais recentes) instaladas, não precisará (e não terá instalado) o número de KB específico vinculado ao patch MS17-010.

No entanto, se você optou por instalar apenas atualizações somente de segurança , precisará especificamente instalar a de março. A menos que você tenha escolhido esse caminho especificamente, você deve estar nos rollups. A aposta mais segura é permitir que o Windows atualize tudo até que ele esteja atualizado.

Este é realmente o caso de todos os patches de segurança agora, não apenas este.

impedirá a instalação / execução do malware WannaCry

O patch MS17-010 não faz nada para parar o próprio ransomware. Se você baixar o exe e executá-lo, ele ainda funcionará e criptografará seus arquivos. Por exemplo, o principal vetor de infecção na maioria das redes era através de anexos de email, IIRC. Isso não é novidade para o ransomware.

No entanto, a parte do worm do programa é o que facilita a sua disseminação pelas redes. Este ataques a implementação SMBv1 no destino computador, ou seja, o computador do worm está se espalhando para , não a partir de .. Portanto, o patch MS17-010 deve ser instalado cada máquina Windows na rede.

Geralmente, NAT ou firewalls na borda da rede impedem a propagação pela Internet.

apenas impeça a propagação do malware (uma vez instalado em um determinado PC e, portanto, infectando-o) pela intranet

O patch não faz nada para ajudar um computador já infectado. Só é útil se instalado em outros computadores não infectados da rede.

existem benefícios em desativar o SMBv1 também?

Não diretamente para o WannaCry / EternalBlue, pois o patch MS17-010 corrige esse buraco específico. No entanto, a defesa em profundidade sugeriria desativar o SMBv1 de qualquer maneira, a menos que você precise, pois reduz as superfícies de ataque e minimiza os danos caso ocorra outro bug do SMBv1 atualmente desconhecido. Dado que o Vista e os mais novos oferecem suporte ao SMBv2, não será necessário manter o SMBv1 ativado, a menos que você precise compartilhar arquivos com o XP. Espero que não seja esse o caso.

Antes de desativar o SMBv1, como ter certeza de que isso não afetará o desempenho / confiabilidade da rede?

O efeito mais óbvio é que você não poderá mais usar o compartilhamento de arquivos do Windows com nenhum sistema XP.

Conforme a gravidade do link postada e os comentários, isso pode impedir que o seu computador apareça na lista "rede" ou use-a. Você ainda pode acessá-los digitando \\computernamee vê-los listados usando grupos domésticos (ou Active Directory em um ambiente de negócios).

A outra exceção mencionada nessa postagem do blog são fotocopiadoras / scanners de rede mais antigos que possuem a funcionalidade "digitalizar para compartilhar" podem não suportar um protocolo SMB moderno.


Muito obrigado, Bob. Pelo que entendi, o patch MS17-010 e a desativação do SMBv1 são úteis para impedir que outro PC infecte o meu na mesma rede. Então, qual abordagem poderia ser usada para detectar o WannaCry (ou similar) a tempo de impedir a instalação direta no meu PC (por exemplo, do anexo de email)? O Malwarebytes ou qualquer outro programa antivírus atualizado é suficiente? Existe um utilitário específico que você aconselharia?
Antony

@ Antony Infelizmente, não há como cobrir todas as bases. Um programa antivírus em tempo real forneceria algum nível de proteção, mas acredito que a única boa solução é fazer com que o usuário tenha cuidado com o que abre - no final do dia, esses e-mails são um ataque humano. E, é claro, ter backups (desconectados do PC, por exemplo, em um HDD portátil ou Crashplan / Backblaze se a sua conexão à Internet for boa o suficiente) ajudará você a se recuperar de um ataque assim, se ocorrer um erro diferente.
2020 Bob

@Antony Só para esclarecer: os programas antivírus / malware são úteis contra ataques conhecidos pelos quais reconhecem uma assinatura, mas levarão algum tempo até que possam detectar o ataque mais recente. Também há detecção baseada em heurística, mas isso não é confiável.
2020 Bob
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.