Welche Auswirkungen hat die Deaktivierung des MS17-010-Patches und des SMBv1 auf WannaCry? Entfernt es die Malware oder verhindert es nur die Verbreitung?

9

Ich habe viel darüber gegoogelt, konnte aber keine Antwort finden.

Ich möchte verstehen, ob das Patchen von Windows mit dem MS17-010- Update die Installation / Ausführung von WannaCry-Malware verhindert oder nur verhindert, dass sich die Malware (sobald sie auf einem bestimmten PC installiert ist und ihn daher infiziert) über das Intranet verbreitet.

Gibt es auch Vorteile, wenn SMBv1 deaktiviert wird, wenn der MS17-010-Patch ordnungsgemäß installiert ist? Oder kann der MS17-010-Patch selbst als ausreichend angesehen werden?

Letzte Frage / Zweifel: Wie kann vor dem Deaktivieren von SMBv1 sichergestellt werden, dass dies die Netzwerkleistung / -zuverlässigkeit nicht beeinträchtigt?

Antonius
quelle
2
Offizielles Wort des Microsoft-Speicherteams zu SMBv1: Verwenden Sie SMBv1 nicht mehr.
user1686
Vielen Dank an @grawity, das hat meine Zweifel an der Deaktivierung von SMBv1 definitiv geklärt.
Antony

Antworten:

11

Zunächst ein kleines Vorwort. Der MS17-010-Patch ist ab März in allen Update-Rollups für Windows 7, 8.1 und 10 enthalten. Wenn Sie also die Rollup- Updates für April oder Mai (oder neuere) installiert haben, benötigen Sie die mit dem MS17-010-Patch verknüpfte spezifische KB-Nummer nicht (und haben sie auch nicht installiert).

Wenn Sie sich jedoch dafür entschieden haben, nur Sicherheitsupdates zu installieren , muss speziell das März - Update installiert sein. Sofern Sie diesen Pfad nicht speziell ausgewählt haben, sollten Sie sich in den Rollups befinden. Am sichersten ist es, wenn Windows alles aktualisiert, bis es auf dem neuesten Stand ist.

Dies ist derzeit bei allen Sicherheitspatches der Fall, nicht nur bei diesem.

verhindert, dass WannaCry-Malware installiert / ausgeführt wird

Der MS17-010-Patch kann die Ransomware selbst nicht stoppen. Wenn Sie die Exe herunterladen und ausführen, funktioniert sie weiterhin und verschlüsselt Ihre Dateien. Beispielsweise war der primäre Infektionsvektor in den meisten Netzwerken der E-Mail-Anhang IIRC. Dies ist nichts Neues für Ransomware.

Der Wurmteil des Programms erleichtert jedoch die Verbreitung über Netzwerke. Diese Angriffe der SMBv1 Implementierung auf dem Zielcomputer, dh der Computer der Wurm verbreitet sich auf , nicht aus .. Daher ist die MS17-010 Patch muss installiert werden , alle Windows - Rechner im Netzwerk.

Im Allgemeinen verhindern NAT oder Firewalls am Netzwerkrand die Verbreitung über das Internet.

Verhindern Sie einfach, dass sich die Malware (sobald sie auf einem bestimmten PC installiert ist und diesen infiziert) über das Intranet verbreitet

Der Patch hilft einem bereits infizierten Computer nicht weiter. Dies ist nur nützlich, wenn es auf den anderen nicht infizierten Computern im Netzwerk installiert ist.

Gibt es auch Vorteile beim Deaktivieren von SMBv1?

Nicht direkt für WannaCry / EternalBlue, da der MS17-010-Patch dieses spezielle Loch behebt. Eine gründliche Verteidigung würde jedoch empfehlen, SMBv1 trotzdem zu deaktivieren, es sei denn, Sie benötigen es, da es die Angriffsflächen verringert und den Schaden minimiert, falls es einen weiteren derzeit unbekannten SMBv1-Fehler gibt. Angesichts der Tatsache, dass Vista und neuere Versionen SMBv2 unterstützen, sollte es nicht erforderlich sein, SMBv1 aktiviert zu lassen, es sei denn, Sie müssen Dateien für XP freigeben. Ich hoffe das ist nicht der Fall.

Wie können Sie vor dem Deaktivieren von SMBv1 sicherstellen, dass dies die Netzwerkleistung / -zuverlässigkeit nicht beeinträchtigt?

Der offensichtlichste Effekt ist, dass Sie die Windows-Dateifreigabe nicht mehr mit XP-Systemen verwenden können.

Gemäß dem Link grawity geschrieben und dort die Kommentare, könnte dies Ihren Computer nicht angezeigt werden , oder die „Netzwerk“ Liste. Sie können weiterhin auf sie zugreifen, indem Sie die eingeben \\computernameund sie mithilfe von Heimnetzgruppen (oder Active Directory in einer Geschäftsumgebung) auflisten.

Die andere Ausnahme, die in diesem Blogbeitrag erwähnt wird, sind ältere Netzwerk-Fotokopierer / Scanner, die über die Funktion "Scan to Share" verfügen, die möglicherweise kein modernes SMB-Protokoll unterstützen.

Bob
quelle
Vielen Dank Bob. Soweit ich weiß, sind sowohl der MS17-010-Patch als auch die SMBv1-Deaktivierung hilfreich, um zu verhindern, dass ein anderer PC meinen im selben Netzwerk infiziert. Welcher Ansatz könnte also verwendet werden, um WannaCry (oder ähnliches) rechtzeitig zu erkennen, um zu verhindern, dass es direkt auf meinem PC installiert wird (z. B. durch E-Mail-Anhang)? Reicht Malwarebytes oder ein anderes aktuelles Antivirenprogramm aus? Gibt es ein bestimmtes Dienstprogramm, das Sie empfehlen würden?
Antony
@Antony Leider gibt es keine Möglichkeit, alle Basen abzudecken. Ein Echtzeit-Antivirenprogramm würde Ihnen ein gewisses Maß an Schutz bieten, aber ich glaube, die einzig gute Lösung besteht darin, dass der Benutzer vorsichtig ist, was er öffnet - letztendlich sind diese E-Mails ein Angriff über den Menschen. Und wenn Sie Backups haben (die vom PC getrennt sind, z. B. auf einer tragbaren Festplatte, oder Crashplan / Backblaze, wenn Ihre Internetverbindung gut genug ist), können Sie sich von einem solchen Angriff erholen, wenn ein anderer Fehler auftritt.
Bob
@Antony Nur um klar zu sein - Antiviren- / Malware-Programme sind nützlich gegen bekannte Angriffe, für die sie eine Signatur erkennen, aber es wird einige Zeit dauern, bis sie den neuesten Angriff erkennen können. Es gibt auch heuristische Erkennung, aber das ist unzuverlässig.
Bob