Apa implikasi patch MS17-010 dan penonaktifan SMBv1 terkait dengan WannaCry? Apakah itu menghapus malware atau menghentikan penyebarannya?

9

Saya sering mencari di Google tentang hal ini tetapi tidak dapat menemukan jawabannya.

Saya ingin memahami apakah menambal Windows dengan pembaruan MS17-010 akan mencegah WannaCry malware menginstal / mengeksekusi atau hanya mencegah malware (setelah diinstal pada PC tertentu dan karena itu menginfeksi itu) menyebar melalui intranet?

Juga, jika patch MS17-010 diinstal dengan benar, apakah ada manfaat dari menonaktifkan SMBv1 juga? Atau patch MS17-010 itu sendiri dapat dianggap cukup?

Pertanyaan / keraguan terakhir: sebelum menonaktifkan SMBv1, bagaimana memastikan bahwa ini tidak akan mempengaruhi kinerja / keandalan jaringan?

Antony
sumber
2
Kata resmi dari tim penyimpanan Microsoft tentang SMBv1: Berhenti menggunakan SMBv1.
user1686
Terima kasih @grawity, itu jelas menjelaskan keraguan saya tentang menonaktifkan SMBv1.
Antony

Jawaban:

11

Pertama, sedikit pengantar. Patch MS17-010 termasuk dalam semua rollup pembaruan untuk Windows 7, 8.1 dan 10 mulai Maret. Jadi jika Anda menginstal pembaruan rollup April atau Mei (atau yang lebih baru) , Anda tidak perlu (dan tidak akan menginstal) nomor KB tertentu yang ditautkan ke patch MS17-010.

Namun, jika Anda memilih untuk menginstal hanya pembaruan keamanan saja , maka Anda harus menginstal pembaruan Maret. Kecuali jika Anda secara khusus memilih jalur ini, Anda harus berada di rollup. Taruhan paling aman adalah membiarkan Windows memperbarui semuanya sampai dikatakan sudah terbaru.

Ini sebenarnya kasus untuk semua patch keamanan sekarang, bukan hanya yang ini.

akan mencegah WannaCry malware menginstal / mengeksekusi

Patch MS17-010 tidak menghentikan ransomware itu sendiri. Jika Anda mengunduh exe dan menjalankannya, ia masih akan melakukan tugasnya dan mengenkripsi file Anda. Sebagai contoh, vektor infeksi utama pada sebagian besar jaringan adalah melalui lampiran email, IIRC. Ini bukan hal baru untuk ransomware.

Namun, bagian worm dari program adalah apa yang memfasilitasi penyebarannya melalui jaringan. Ini menyerang implementasi SMBv1 pada komputer tujuan , yaitu komputer worm menyebar ke , bukan dari .. Oleh karena itu, patch MS17-010 harus diinstal setiap mesin Windows di jaringan.

Umumnya, NAT atau firewall di tepi jaringan mencegah penyebaran melalui internet.

cukup cegah malware (setelah diinstal pada PC tertentu dan karena itu menginfeksinya) menyebar melalui intranet

Patch tidak melakukan apa pun untuk membantu komputer yang sudah terinfeksi. Ini hanya berguna jika diinstal pada komputer lain yang tidak terinfeksi di jaringan.

apakah ada manfaat menonaktifkan SMBv1 juga?

Tidak secara langsung untuk WannaCry / EternalBlue, karena patch MS17-010 memperbaiki lubang khusus ini. Namun, pertahanan secara mendalam akan menyarankan menonaktifkan SMBv1, kecuali jika Anda membutuhkannya, karena mengurangi permukaan serangan dan meminimalkan kerusakan jika ada bug SMBv1 lain yang saat ini tidak diketahui. Mengingat bahwa Vista dan yang lebih baru mendukung SMBv2, seharusnya tidak perlu menjaga SMBv1 diaktifkan kecuali Anda perlu berbagi file dengan XP. Saya harap bukan itu masalahnya.

sebelum menonaktifkan SMBv1, bagaimana memastikan bahwa ini tidak akan mempengaruhi kinerja / keandalan jaringan?

Efek yang paling jelas adalah Anda tidak lagi dapat menggunakan berbagi file Windows dengan sistem XP.

Sesuai tautan grawity yang diposting dan komentar di sana, ini mungkin mencegah komputer Anda muncul di atau menggunakan daftar "jaringan". Anda masih dapat mengaksesnya dengan mengetik di \\computernamedan melihatnya terdaftar menggunakan homegroup (atau Active Directory di lingkungan bisnis).

Pengecualian lain sebagaimana disebut dalam posting blog itu adalah mesin fotokopi / pemindai jaringan yang lebih tua yang memiliki fungsi "pindai untuk berbagi" mungkin tidak mendukung protokol SMB modern.

Bob
sumber
Terima kasih banyak, Bob. Seperti yang saya pahami baik MS17-010 patch dan SMBv1 deactivation berguna untuk mencegah PC lain menginfeksi tambang saya di jaringan yang sama. Jadi pendekatan apa yang dapat digunakan untuk mendeteksi WannaCry (atau yang serupa) pada waktunya untuk mencegahnya menginstal pada PC saya secara langsung (misalnya dari lampiran surat)? Apakah Malwarebytes atau program antivirus terbaru lainnya sudah cukup? Apakah ada utilitas khusus yang Anda sarankan?
Antony
@Antony Sayangnya, tidak ada cara untuk menutupi semua pangkalan. Program antivirus real-time akan memberi Anda beberapa tingkat perlindungan, tetapi saya percaya satu-satunya solusi yang baik adalah membuat pengguna berhati-hati dengan apa yang mereka buka - pada akhirnya, email-email itu adalah serangan melalui manusia. Dan, tentu saja, memiliki cadangan (terputus dari PC, misalnya pada HDD portabel, atau Crashplan / Backblaze jika koneksi internet Anda cukup baik) akan membantu Anda pulih dari serangan seperti itu jika kebetulan ada bug yang berbeda.
Bob
@Antony Hanya untuk menjadi jelas - antivirus / program malware yang berguna melawan dikenal serangan mereka mengakui tanda tangan, tetapi akan memakan waktu sebelum mereka dapat mendeteksi serangan terbaru. Ada juga deteksi berbasis heuristik tapi itu tidak bisa diandalkan.
Bob