Quelle est l'implication du patch MS17-010 et de la désactivation SMBv1 liée à WannaCry? Supprime-t-il le malware ou l'empêche-t-il simplement de se propager?

9

J'ai googlé beaucoup à ce sujet mais je n'ai pas pu trouver la réponse.

Je voudrais comprendre si l'application de correctifs à Windows avec la mise à jour MS17-010 empêchera le malware WannaCry d'installer / exécuter ou simplement d'empêcher le malware (une fois installé sur un certain PC et donc de l'infecter) de se propager via l'intranet?

De plus, si le correctif MS17-010 est correctement installé, la désactivation de SMBv1 présente-t-elle également des avantages? Ou le patch MS17-010 lui-même peut-il être considéré comme suffisant?

Dernière question / doute: avant de désactiver SMBv1, comment être sûr que cela n'affectera pas les performances / fiabilité du réseau?

Antony
la source
2
Mot officiel de l'équipe de stockage de Microsoft concernant SMBv1: arrêtez d'utiliser SMBv1.
user1686
Merci @grawity, qui a définitivement clarifié mes doutes sur la désactivation de SMBv1.
Antony

Réponses:

11

Tout d'abord, une petite préface. Le correctif MS17-010 est inclus dans tous les correctifs cumulatifs pour Windows 7, 8.1 et 10 à partir de mars. Donc, si vous avez installé les mises à jour cumulatives d' avril ou de mai (ou plus récentes) , vous n'avez pas besoin (et vous n'aurez pas installé) le numéro KB spécifique lié au correctif MS17-010.

Cependant, si vous avez choisi d'installer uniquement des mises à jour de sécurité uniquement , vous devrez spécifiquement installer celle de mars. À moins que vous n'ayez spécifiquement choisi ce chemin, vous devriez être sur les rollups. Le pari le plus sûr consiste simplement à laisser Windows tout mettre à jour jusqu'à ce qu'il indique qu'il est à jour.

C'est actuellement le cas pour tous les correctifs de sécurité, pas seulement celui-ci.

empêchera les logiciels malveillants WannaCry d'installer / d'exécuter

Le correctif MS17-010 ne fait rien pour arrêter le ransomware lui-même. Si vous téléchargez l'exe et l'exécutez, il fera toujours son travail et chiffrera vos fichiers. Par exemple, le principal vecteur d'infection sur la plupart des réseaux était par le biais des pièces jointes aux courriers électroniques, IIRC. Ce n'est pas nouveau pour les ransomwares.

Cependant, la partie ver du programme est ce qui facilite sa propagation à travers les réseaux. Cette attaque à la mise en œuvre SMBv1 sur la destination ordinateur, à savoir l'ordinateur , le ver se propage à , non pas de .. Par conséquent, le patch MS17-010 doit être installé chaque machine Windows sur le réseau.

Généralement, le NAT ou les pare-feu à la périphérie du réseau empêchent la propagation via Internet.

il suffit d'empêcher le malware (une fois installé sur un certain PC et donc de l'infecter) de se propager via l'intranet

Le patch ne fait rien pour aider un ordinateur déjà infecté. Il n'est utile que s'il est installé sur les autres ordinateurs non infectés du réseau.

la désactivation de SMBv1 présente-t-elle également des avantages?

Pas directement pour WannaCry / EternalBlue, car le patch MS17-010 corrige ce trou particulier. Cependant, une défense en profondeur suggérerait de toute façon de désactiver SMBv1 à moins que vous n'en ayez besoin, car cela réduit les surfaces d'attaque et minimise les dégâts s'il y avait un autre bogue SMBv1 actuellement inconnu. Étant donné que Vista et les versions plus récentes prennent en charge SMBv2, il ne devrait pas être nécessaire de garder SMBv1 activé, sauf si vous devez partager des fichiers avec XP. J'espère que ce n'est pas le cas.

avant de désactiver SMBv1, comment être sûr que cela n'affectera pas les performances / fiabilité du réseau?

L'effet le plus évident est que vous ne pourrez plus utiliser le partage de fichiers Windows avec les systèmes XP.

Selon le lien affiché et les commentaires, cela peut empêcher votre ordinateur d'apparaître ou d'utiliser la liste "réseau". Vous pouvez toujours y accéder en tapant le \\computernameet les voir répertoriés à l'aide de groupes résidentiels (ou Active Directory dans un environnement professionnel).

L'autre exception, comme indiqué dans ce billet de blog, concerne les photocopieurs / scanners réseau plus anciens qui ont la fonctionnalité "numériser pour partager" ne prennent pas en charge un protocole SMB moderne.

Bob
la source
Merci beaucoup Bob. Si je comprends bien, le patch MS17-010 et la désactivation SMBv1 sont utiles pour empêcher un autre PC d'infecter le mien sur le même réseau. Alors, quelle approche pourrait être utilisée pour détecter WannaCry (ou similaire) à temps pour l'empêcher de s'installer directement sur mon PC (par exemple à partir d'une pièce jointe)? Malwarebytes ou tout autre programme antivirus à jour est-il suffisant? Y a-t-il un utilitaire spécifique que vous conseillez?
Antony
@Antony Malheureusement, il n'y a aucun moyen de couvrir toutes les bases. Un programme antivirus en temps réel vous donnerait un certain niveau de protection, mais je crois que la seule bonne solution est de faire en sorte que l'utilisateur fasse attention à ce qu'il ouvre - à la fin de la journée, ces e-mails sont une attaque via l'homme. Et, bien sûr, avoir des sauvegardes (déconnectées du PC, par exemple sur un disque dur portable, ou Crashplan / Backblaze si votre connexion Internet est assez bonne) vous aidera à vous remettre d'une telle attaque si vous vous trouvez par un bug différent.
Bob
@Antony Juste pour être clair - les programmes antivirus / programmes malveillants sont utiles contre les attaques connues pour lesquelles ils reconnaissent une signature, mais cela prendra un certain temps avant de pouvoir détecter la plus récente attaque. Il existe également une détection basée sur l'heuristique, mais ce n'est pas fiable.
Bob