Wenn der SMBv1-Client / -Server deaktiviert ist, benötige ich noch einen MS17-010-Patch?

1065
elekgeek

Ich verstehe das nicht:

Es gibt widersprüchliche Dinge, die ich darüber gelesen habe, wie der WannaCry-Vorfall abgemildert werden kann. Einige sagen, wenn der SMBv1-Client und -Server deaktiviert sind, der MS17-010-Patch ist NICHT erforderlich. Andere sagen, auch wenn der SMBv1-Client und -Server deaktiviert sind.

Ich verstehe jetzt wirklich nicht, wem ich zuhören sollte, wenn der SMBv1-Client und -Server deaktiviert sind. Die Installation des Patches MS17-010 hilft dabei, die Verbreitung von WannaCry auf einem nicht infizierten PC zu verhindern, solange die oben genannten Dienste deaktiviert sind dh SMBv1, bei dem der Wurm-Teil dieser Ransomware ausnutzt, ist nicht mehr aktiviert?

Bitte erklären Sie, es ist nützlich für mich, um meinen Fehler herauszufinden, falls ich den MS17-010-Patch nicht installiert habe, weil ich den Patch nirgendwo installiert habe. Ich habe den SMBv1-Client und -Server über die Registrierung in der Gruppenrichtlinie deaktiviert.

Behebt der Patch Fehler in SMBv1, mit denen ich SMBv1 wieder aktivieren kann? Immer noch sagt Microsoft, dass Sie SMBv1 nicht verwenden. Warum sollte ich mich also mit der Installation des MS17-010-Patches beschäftigen? Solange der MS17-010-Patch die WannaCry-Aktion nicht verhindert.

Ich habe viele Kollegen angerufen, viele von ihnen sind immer noch verwirrt über dieses Thema und wissen nicht, was sie dagegen tun sollen. Bitte schließen Sie diese Frage nicht. Es ist sehr wichtig, das Problem direkt zu klären und direkt bei Google zu finden.

1

1 Antwort auf die Frage

3
Twisty Impersonator

Sie benötigen den Patch MS17-010 nicht, wenn Sie SMBv1 deaktivieren

Wie in der Zusammenfassung des Microsoft Security Bulletin MS17-010 erläutert:

Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Die schwerwiegendsten Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Angreifer speziell gestaltete Nachrichten an einen SMBv1-Server (Microsoft Server Message Block 1.0) sendet.

Diese "speziell gestaltete Nachricht" ist ein als EternalBlue bekannter Exploit. Seine Rolle bei der Verbreitung von WannaCry wird in dem exzellenten Blogbeitrag des Cisco Threat Intelligence-Teams über Ransomware diskutiert . In Kürze:

Die Malware verwendet ETERNALBLUE für die erste Ausnutzung der SMB-Sicherheitsanfälligkeit.

Der Wikipedia-Artikel für den EternalBlue-Exploit bestätigt, dass Version 1 der Microsoft-Implementierung von SMB anfällig ist:

EternalBlue nutzt eine Sicherheitsanfälligkeit in der Microsoft-Implementierung des SMB-Protokolls (Server Message Block). Diese Sicherheitsanfälligkeit wird durch den Eintrag CVE-2017-0144 im Katalog zu Common Vulnerabilities and Exposures (CVE) angegeben. Die Sicherheitsanfälligkeit ist darauf zurückzuführen, dass der SMB-Server der Version 1 (SMBv1) in verschiedenen Versionen von Microsoft Windows speziell gestaltete Pakete von Remoteangreifern akzeptiert, sodass sie auf dem Zielcomputer beliebigen Code ausführen können. Mein Schwerpunkt.

Fazit: Wenn SMBv1 auf einer Maschine deaktiviert ist, ist der EternalBlue-Exploit nicht möglich und WannaCry kann die Maschine nicht über SMB infizieren .

Hinweis: SMBv1 ist die einzige Version des Protokolls, die unter Windows Server 2003 und XP verfügbar ist. Daher wird durch das Deaktivieren die Dateifreigabe auf diesen Systemen vollständig deaktiviert.

Installieren Sie den Patch MS17-010 trotzdem!

Ja, Sie sollten SMBv1 nicht mehr verwenden. Sie sollten es vor langer Zeit nicht mehr verwenden. Aber auch wenn Sie ihn deaktivieren, installieren Sie diesen Sicherheitspatch trotzdem.

Dies ist NICHT überflüssig. Es ist umsichtig. Wenn jemand anderes hinter Ihnen her kommt und SMBv1 erneut aktiviert und das System nicht gepatcht wird, wird der Computer erneut anfällig für einen Exploit, der den Host leicht und unerkannt gefährden kann. Und der nächste Kerl weiß vielleicht nicht, welche Landmine er aktiviert hat.

Sie müssen diese Haftung nicht über einer Maschine hängen, für die Sie verantwortlich sind.

Eine andere Sache bedeutet nicht, dass die Installation des MS17-010-Patches es mir erlaubt, SMBv1 zu verwenden / zu aktivieren. Der Zweck des Patches bestand darin, SMBv1 zu deaktivieren oder die Sicherheitsanfälligkeit in SMBv1 zu beheben. elekgeek vor 6 Jahren 0
Der Patch behebt die Sicherheitsanfälligkeit in SMBv1. SMB wird nicht deaktiviert. Twisty Impersonator vor 6 Jahren 0
Ich verstehe, dann kann ich es ohne Probleme benutzen ... elekgeek vor 6 Jahren 0
natürlich war es eine gute antwort. elekgeek vor 6 Jahren 0

Verwandte Probleme