¿Cuál es la implicación del parche MS17-010 y la desactivación SMBv1 relacionada con WannaCry? ¿Elimina el malware o simplemente evita que se propague?

9

Busqué en Google mucho sobre esto pero no pude encontrar la respuesta.

Me gustaría entender si parchear Windows con la actualización MS17-010 evitará que el malware WannaCry se instale / ejecute o simplemente evite que el malware (una vez instalado en una determinada PC y, por lo tanto, lo infecte) se propague a través de la intranet.

Además, si el parche MS17-010 está instalado correctamente, ¿hay algún beneficio al deshabilitar SMBv1 también? ¿O el parche MS17-010 en sí mismo puede considerarse suficiente?

Última pregunta / duda: antes de deshabilitar SMBv1, ¿cómo asegurarse de que esto no afectará el rendimiento / confiabilidad de la red?

Antonio
fuente
2
Palabra oficial del equipo de almacenamiento de Microsoft con respecto a SMBv1: deje de usar SMBv1.
usuario1686
Gracias @grawity, eso definitivamente aclaró mis dudas sobre la desactivación de SMBv1.
Antony

Respuestas:

11

Primero, un pequeño prefacio. El parche MS17-010 se incluye en todos los paquetes acumulativos de actualizaciones para Windows 7, 8.1 y 10 a partir de marzo. Así que si usted tiene el abril o mayo (o posterior) de resumen de instalación de las actualizaciones, no es necesario (y no habrán instalado) el KB-número específico relacionado con el parche MS17-010.

Sin embargo, si ha elegido instalar solo actualizaciones solo de seguridad , entonces deberá instalar específicamente la de marzo. A menos que haya elegido específicamente este camino, debería estar en los rollups. La apuesta más segura es dejar que Windows actualice todo hasta que diga que está actualizado.

Este es el caso de todos los parches de seguridad ahora, no solo este.

evitará que el malware WannaCry se instale / ejecute

El parche MS17-010 no hace nada para detener el ransomware. Si descargas el exe y lo ejecutas, seguirá haciendo lo suyo y encriptará tus archivos. Por ejemplo, el vector de infección primario en la mayoría de las redes fue a través de archivos adjuntos de correo electrónico, IIRC. Esto no es nada nuevo para el ransomware.

Sin embargo, la parte de gusanos del programa es lo que facilita su propagación a través de las redes. Esto ataca la implementación SMBv1 sobre el destino de la computadora, es decir, el equipo que el gusano se está extendiendo a , no desde .. Por lo tanto, el parche MS17-010 deben instalarse cada máquina Windows en la red.

En general, NAT o firewalls en el borde de la red evitan la propagación a través de Internet.

solo evite que el malware (una vez instalado en una determinada PC y, por lo tanto, lo infecte) se propague a través de la intranet

El parche no hace nada para ayudar a una computadora ya infectada. Solo es útil si está instalado en las otras computadoras no infectadas en la red.

¿Hay algún beneficio de deshabilitar SMBv1 también?

No directamente para WannaCry / EternalBlue, ya que el parche MS17-010 soluciona este agujero en particular. Sin embargo, la defensa en profundidad sugeriría deshabilitar SMBv1 de todos modos, a menos que lo necesite, ya que reduce las superficies de ataque y minimiza el daño si hubiera otro error SMBv1 actualmente desconocido. Dado que Vista y las versiones más recientes admiten SMBv2, no debería haber necesidad de mantener SMBv1 habilitado a menos que necesite compartir archivos con XP. Espero que ese no sea el caso.

antes de deshabilitar SMBv1, ¿cómo asegurarse de que esto no afectará el rendimiento / confiabilidad de la red?

El efecto más obvio es que ya no podrá utilizar el uso compartido de archivos de Windows con ningún sistema XP.

Según la gravedad del enlace publicado y los comentarios allí, esto podría evitar que su computadora aparezca o use la lista de "red". Todavía puede acceder a ellos escribiendo \\computernamey verlos en la lista usando grupos en el hogar (o Active Directory en un entorno empresarial).

La otra excepción que se menciona en esa publicación de blog es que las fotocopiadoras / escáneres de red más antiguas que tienen la función "escanear para compartir" podrían no ser compatibles con un protocolo SMB moderno.

Beto
fuente
Muchas gracias Bob. Según tengo entendido, tanto el parche MS17-010 como la desactivación SMBv1 son útiles para evitar que otra PC infecte la mía en la misma red. Entonces, ¿qué enfoque podría usarse para detectar WannaCry (o similar) a tiempo para evitar que se instale en mi PC directamente (por ejemplo, desde un archivo adjunto de correo)? ¿Malwarebytes o cualquier otro programa antivirus actualizado es suficiente? ¿Hay alguna utilidad específica que aconsejarías?
Antony
@Antony Desafortunadamente, no hay forma de cubrir todas las bases. Un programa antivirus en tiempo real le daría cierto nivel de protección, pero creo que la única buena solución es que el usuario tenga cuidado con lo que abren; al final del día, esos correos electrónicos son un ataque a través del ser humano. Y, por supuesto, tener copias de seguridad (desconectadas de la PC, por ejemplo, en un HDD portátil, o Crashplan / Backblaze si su conexión a Internet es lo suficientemente buena) lo ayudará a recuperarse de tal ataque si se produce un error diferente.
Bob
@Antony Solo para ser claros: los programas antivirus / malware son útiles contra ataques conocidos para los que reconocen una firma, pero tomarán un tiempo antes de que puedan detectar el ataque más reciente. También hay detección basada en heurística, pero no es confiable.
Bob