我不明白这一点:
关于如何缓解 WannaCry 事件,我读到过一些相互矛盾的说法,有人说如果禁用 SMBv1 客户端和服务器,就不需要 MS17-010 补丁,还有人说即使禁用 SMBv1 客户端和服务器,仍然需要 MS17-010 补丁。
所以,我现在真的不明白我应该听谁的,如果 SMBv1 客户端和服务器被禁用,那么安装 MS17-010 补丁如何有助于防止 WannaCry 传播到未受感染的 PC,只要上述服务被禁用,即勒索软件的蠕虫部分所利用的 SMBv1 不再启用?
请解释一下,如果我没有安装 MS17-010 补丁,这对我找出我的错误很有用,因为我没有在任何地方安装该补丁,我只是通过组策略上的注册表禁用了 SMBv1 客户端和服务器。
该补丁是否修复了 SMBv1 中的错误,使我可以重新启用 SMBv1?微软仍然说不要使用 SMBv1,那么我为什么要费心安装 MS17-010 补丁?只要 MS17-010 补丁不会阻止 WannaCry 行动就行了。
我打电话给很多同事,他们中的很多人仍然对这个问题感到困惑,不知道该怎么办。请不要关闭这个问题,直接澄清这个问题非常重要,并直接在谷歌搜索中找到它。
答案1
如果禁用 SMBv1,则不需要 MS17-010 补丁
正如执行摘要Microsoft 安全公告 MS17-010:
此安全更新可修复 Microsoft Windows 中的漏洞。如果攻击者向 Microsoft Server Message Block 1.0 (SMBv1) 服务器发送特制消息,最严重的漏洞可能允许远程执行代码。
这种“特制信息”是一种名为“永恒之蓝”的漏洞。思科威胁情报团队的一份报告讨论了该漏洞在传播 WannaCry 中所起的作用优秀的博客文章关于勒索软件。简而言之:
该恶意软件使用ETERNALBLUE对SMB漏洞进行初步利用。
维基百科文章永恒之蓝漏洞确认存在漏洞的是微软的 SMB 实现版本 1:
EternalBlue 利用了 Microsoft 实施的服务器消息块 (SMB) 协议中的漏洞。此漏洞在通用漏洞和暴露 (CVE) 目录中被标记为 CVE-2017-0144。该漏洞之所以存在,是因为 Microsoft Windows 各个版本中的 SMB 版本 1 (SMBv1) 服务器接受来自远程攻击者的特制数据包,从而允许他们在目标计算机上执行任意代码。[重点是我的。]
最重要的是,如果一台机器上的 SMBv1 被禁用,那么 EternalBlue 漏洞就无法利用,WannaCry 也无法感染这台机器通过 SMB。
笔记:SMBv1 是 Windows Server 2003 和 XP 上唯一可用的协议版本。因此,禁用它也会完全禁用这些系统上的文件共享。
无论如何都要安装 MS17-010 补丁!!
是的,您应该停止使用 SMBv1。你早就应该停止使用它了。但即使你禁用它,无论如何都要安装此安全补丁。
这样做并非多余。这是明智之举。如果其他人跟在你后面重新启用 SMBv1,而系统没有打补丁,机器将再次受到攻击,这种攻击能够轻易地以未被发现的方式危害主机。而下一个人可能没有意识到他启用了地雷。
您不需要对您负责的任何机器承担这种责任。