¿Puede "wannacrypt" (wcrypt) propagarse a través del servidor Linux que sirve sobre SMB?

8

¿Es posible, o esto solo se extenderá a través de una máquina Windows que sirve sobre SMB?

Si el servicio de Linux sobre SMB puede propagar wannacrypt, ¿cuál es el enfoque a seguir?

fredrik
fuente
Desafiaría la suposición de que el vino no se ve afectado. AFAIK Wine está utilizando las DLL proporcionadas, por lo que esto debe verificarse a fondo.
byteborg
WanaCrypt0r ha sido ejecutado con éxito en Wine por un mod Ask Ubuntu: askubuntu.com/a/914954/271
Andrea Lazzarotto

Respuestas:

8

En general, cualquier ransomware puede cifrar cualquier cosa a la que tenga acceso el usuario infectado, como cualquier otro malware puede escribir en cualquier lugar utilizando los permisos de la cuenta que lo ejecuta. Eso no equivale a que se active para otros usuarios, pero puede afectar a todos los recursos compartidos a los que el usuario tiene acceso.

Contramedidas:

  • Prevenir con protección antivirus y firewall, como de costumbre.

  • Forzar a todos los clientes a instalar actualizaciones regularmente.

  • Las copias de seguridad son la forma más poderosa de manejar todo el ransomware después de la infección. Eventualmente, algunos de sus usuarios tendrán uno que aún no fue reconocido por su protección antivirus. Tenga una copia de seguridad a la que sus usuarios no tengan acceso de escritura. De lo contrario, las copias de seguridad son inútiles, porque el ransomware también tiene el mismo acceso para escribir sobre las copias de seguridad.

    Una copia de seguridad fuera de línea es la forma más segura de lograr esto, pero puede que no sea muy práctico, ya que debe hacerlo más manualmente y recuerde hacerlo regularmente.

    Por lo general, tengo una máquina independiente que usa credenciales separadas para acceder a las ubicaciones para hacer una copia de seguridad. Allí, tengo una copia de seguridad incremental que puede almacenar cualquier cambio durante semanas o meses. Es bueno contra el ransomware y los errores del usuario.


WannaCry está utilizando una vulnerabilidad en la implementación de Windows de SMB: el protocolo en sí no es vulnerable. De un artículo de noticias sobre MalwareLess :

Los ataques WannaCry se inician utilizando una ejecución remota de código SMBv2 en el sistema operativo Microsoft Windows. El exploit EternalBlue se puso a disposición del público a través del vertedero de Shadowbrokers el 14 de abril de 2017 y fue parcheado por Microsoft el 14 de marzo. Sin embargo, muchas compañías y organizaciones públicas aún no han instalado el parche en sus sistemas.

El parche mencionado es MS17-010 , Actualización de seguridad para Microsoft Windows SMB Server ( 4013389 ):

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor Microsoft Server Message Block 1.0 (SMBv1).

Por lo tanto, no afecta a Linux. Windows también es seguro después de instalar la actualización. Sin embargo, si todavía hay una computadora cliente con un Windows no parcheado, los datos en un recurso compartido podrían no estar seguros.

Esa Jokinen
fuente
Por "en general" quiero decir que no debes concentrarte en lo que un solo ransomware es capaz de hacer actualmente. El ransomware evoluciona y sus usuarios pueden infectarse con algún otro ransomware.
Esa Jokinen
Gracias, aunque tiene razón, esto realmente no respondió a mi pregunta inicial sobre si wannacry se propaga solo a través de SMBv1 en Windows.
fredrik
Si encontró una respuesta, puede agregar la cita como respuesta en lugar de editar la pregunta original. Aún así, incluso si la parte del gusano del malware no se pudo propagar usando otra implementación que no sea la de Microsoft, lo que significa que el protocolo en sí no es el problema, los datos no pueden considerarse seguros.
Esa Jokinen
1

Encontré esto, aunque no se proporcionó ninguna fuente para respaldar el reclamo:

WannaCry explota un conjunto de fallas en la implementación de Microsoft del protocolo SMB1. Dado que estos son defectos de implementación en lugar de defectos estructurales en el protocolo en sí, los sistemas Linux son inmunes. Esto es cierto independientemente de si los sistemas ejecutan Samba, Wine o cualquier otra capa de emulación de Windows.

https://security.stackexchange.com/a/159405

fredrik
fuente
comentarios posteriores muestran que la inmunidad de Linux no es perfecta
schroeder
0

No, pero si te preocupa ...

Otra cosa que hacer es deshabilitar la capacidad de los clientes para conectar los puertos salientes TCP 137, 139 y 445, y UDP 137, 138 a WAN en su enrutador.

De esta forma, evita que sus PC se conecten a servidores SMB que no sean LAN. También debe usar el firewall de Windows para evitar SMB público / privado y permitir la comunicación de solo dominio para sus rangos de subred si puede.

Finalmente instale la actualización y desactive SMB 1.0 si es posible. No deberías tener nada de qué preocuparte si haces esto.

NotorioPyro
fuente