WannaCry ile ilgili MS17-010 yaması ve SMBv1 deaktivasyonunun etkisi nedir? Kötü amaçlı yazılımı kaldırıyor veya yayılmasını engelliyor mu?


9

Ben bu konuda çok googled ama cevap bulamadım.

Windows'u MS17-010 güncellemesiyle yamalamanın WannaCry kötü amaçlı yazılımının yüklenmesini / yürütülmesini engelleyeceğini veya yalnızca kötü amaçlı yazılımın (belirli bir bilgisayara yüklendikten ve bu nedenle onu enfekte ettiğini) intranet üzerinden yayılmasını önleyip önlemediğini anlamak ister misiniz ?

Ayrıca, MS17-010 düzeltme eki düzgün yüklenirse, SMBv1'i devre dışı bırakmanın herhangi bir faydası var mı? Yoksa MS17-010 yama kendisi yeterli kabul edilebilir?

Son soru / şüphe: SMBv1'i devre dışı bırakmadan önce, bunun ağ performansını / güvenilirliğini etkilemeyeceğinden nasıl emin olabilirsiniz?


2
Microsoft'un depolama ekibinden SMBv1 ile ilgili resmi kelime: SMBv1'i kullanmayı bırakın.
user1686

SMBv1'i devre dışı bırakma konusundaki şüphelerimi netleştiren @grawity teşekkür ederiz.
Antony

Yanıtlar:


11

İlk olarak, küçük bir önsöz. MS17-010 düzeltme eki, Mart ayından itibaren Windows 7, 8.1 ve 10 için tüm güncelleştirme toplamalarına eklenmiştir. Bu nedenle, Nisan veya Mayıs (veya daha yeni) toplaması güncelleştirmeleri yüklüyse, MS17-010 düzeltme ekiyle bağlantılı belirli KB numarasına ihtiyacınız yoktur (ve yüklenmez).

Ancak, yalnızca güvenlikle ilgili güncelleştirmeleri yüklemeyi seçtiyseniz, özellikle Mart ayının yüklü olması gerekir. Bu yolu özellikle seçmedikçe, toplamalarda olmalısınız. En güvenli bahis, Windows'un güncel olduğunu söyleyene kadar her şeyi güncellemesine izin vermektir.

Aslında bu sadece güvenlik için değil, tüm güvenlik yamaları için geçerli.

WannaCry kötü amaçlı yazılımlarının yüklenmesini / yürütülmesini engelleyecektir

MS17-010 düzeltme eki, fidye yazılımının kendisini durdurmak için hiçbir şey yapmaz. Eğer exe indirmek ve çalıştırmak, yine de onun işi yapmak ve dosyalarınızı şifrelemek. Örneğin, çoğu ağdaki birincil enfeksiyon vektörü, IIRC e-posta ekleri yoluyla olmuştur. Bu fidye yazılımı için yeni bir şey değil.

Bununla birlikte, programın solucan kısmı ağlar aracılığıyla yayılmasını kolaylaştıran şeydir. Bu saldırılar SMBv1 uygulama hedef yani solucan yayılıyor bilgisayara bilgisayar, için değil, gelen .. Bu nedenle, MS17-010 yaması yüklü olmalıdır her ağda, Windows makineyi.

Genellikle, ağ kenarındaki NAT veya güvenlik duvarları internet üzerinden yayılmayı önler.

kötü amaçlı yazılımın (belirli bir bilgisayara yüklendikten ve bu nedenle bulaştığından) intranet üzerinden yayılmasını önleyin

Yama zaten virüslü bir bilgisayara yardım etmek için hiçbir şey yapmaz. Yalnızca ağdaki virüs bulaşmamış diğer bilgisayarlara yüklendiğinde kullanışlıdır.

SMBv1'i devre dışı bırakmanın herhangi bir faydası var mı?

MS17-010 yaması bu belirli deliği düzelttiği için doğrudan WannaCry / EternalBlue için değil. Bununla birlikte, derinlemesine savunma, SMBv1'i gerekmedikçe devre dışı bırakmanızı önerir, çünkü saldırı yüzeylerini azaltır ve şu anda bilinmeyen başka bir SMBv1 hatası olması durumunda hasarı en aza indirir. Vista ve daha yeni sürümlerin SMBv2'yi desteklediği göz önüne alındığında, dosyaları XP ile paylaşmanız gerekmedikçe SMBv1'i etkin tutmaya gerek yoktur. Umarım durum böyle değildir.

SMBv1'i devre dışı bırakmadan önce, bunun ağ performansını / güvenilirliğini etkilemeyeceğinden nasıl emin olunur?

En belirgin etki, artık herhangi bir XP sistemiyle Windows dosya paylaşımını kullanamayacağınızdır.

Gereğince bağlantı grawity yayınlanmıştır ve orada yorum, bu gösterilmesini veya "ağ" listesini kullanarak bilgisayarınızı engelleyebilir. Ev gruplarını \\computername(veya bir iş ortamındaki Active Directory) kullanarak bunları yazıp listelenmelerini görebilirsiniz.

Bu blog gönderisinde belirtilen diğer istisna, "paylaşmak için tarama" işlevine sahip eski ağ fotokopi makineleri / tarayıcıları modern bir SMB protokolünü desteklemeyebilir.


Çok teşekkür ederim Bob. Anladığım kadarıyla, hem MS17-010 düzeltme eki hem de SMBv1 devre dışı bırakma, başka bir bilgisayarın aynı ağda mayın bulaşmasını önlemek için yararlıdır. Peki WannaCry'yi (veya benzerlerini) doğrudan bilgisayarıma (ör. Posta ekinden) yüklemesini önlemek için zaman içinde tespit etmek için hangi yaklaşım kullanılabilir? Malwarebytes veya güncel bir virüsten koruma programı yeterli mi? Önereceğiniz belirli bir yardımcı program var mı?
Antony

@Antony Ne yazık ki, tüm üsleri örtmenin bir yolu yok. Gerçek zamanlı bir virüsten koruma programı size bir miktar koruma sağlar, ancak tek iyi çözümün kullanıcının açtıkları şeye dikkat etmesini sağlamak olduğuna inanıyorum - günün sonunda, bu e-postalar insan tarafından bir saldırıdır. Ve elbette, yedeklere sahip olmak (PC'den bağlantısı kesilmiş, örneğin taşınabilir bir HDD'de veya internet bağlantınız yeterince iyi ise Crashplan / Backblaze), farklı bir hata ile karşılaşırsa böyle bir saldırıdan kurtulmanıza yardımcı olacaktır.
Bob

@Antony Açık olmak gerekirse - antivirüs / kötü amaçlı yazılım programları, bir imzayı tanıdıkları bilinen saldırılara karşı faydalıdır , ancak en yeni saldırıyı algılamaları biraz zaman alacaktır. Sezgisel tabanlı algılama da var, ancak bu güvenilir değil.
Bob
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.