私はこれを理解していません:
WannaCryインシデントを軽減する方法について私が読んだ矛盾することがあります。SMBv1クライアントとサーバーが無効になっている場合、MS17-010パッチは不要であると言う人もいれば、SMBv1クライアントとサーバーが無効になっている場合でもMS17-010パッチが必要であると言う人もいます。
したがって、SMBv1クライアントとサーバーが無効になっている場合、誰に耳を傾けるべきか本当にわかりません。MS17-010パッチをインストールすると、前述のサービスが無効になっている限り、感染していないPCにWannaCryが広がるのを防ぐのに役立ちます。つまり、このランサムウェアのワーム部分が悪用しているSMBv1は有効になりませんか?
MS17-010パッチをインストールしなかった場合に、間違いを見つけるのに役立ちます。パッチをどこにもインストールしていないため、グループポリシーのレジストリを介してSMBv1クライアントとサーバーを無効にしました。
パッチは、SMBv1を再度有効にできるSMBv1のバグを修正しますか?それでもMicrosoftはSMBv1を使用しないと言っているのに、なぜMS17-010パッチのインストールを気にするのでしょうか。 MS17-010パッチがWannaCryアクションも妨げない限り。
私は多くの同僚に電話をしましたが、彼らの多くはまだこの問題について混乱していて、どうしたらよいかわかりません。この質問を閉じないでください。この問題を直接明確にし、Google検索で直接見つけることが非常に重要です。
Microsoft Security Bulletin MS17-010の エグゼクティブサマリー で説明されているように:
このセキュリティ更新プログラムは、MicrosoftWindowsの脆弱性を解決します。攻撃者が特別に細工したメッセージをMicrosoftServer Message Block 1.0(SMBv1)サーバーに送信した場合、最も深刻な脆弱性により、リモートでコードが実行される可能性があります。
この「特別に細工されたメッセージ」は、EternalBlueとして知られるエクスプロイトです。 WannaCryの普及におけるその役割については、シスコの脅威インテリジェンスチームの 優れたブログ投稿 ランサムウェアについて説明しています。簡単に言うと:
このマルウェアは、SMBの脆弱性を最初に悪用するためにETERNALBLUEを使用します。
EternalBlueエクスプロイト に関するウィキペディアの記事は、脆弱性があるのはMicrosoftのSMB)の実装のバージョン1であることを確認しています。
EternalBlueは、Microsoftのサーバーメッセージブロック(SMB)プロトコルの実装における脆弱性を悪用します。この脆弱性は、Common Vulnerabilities and Exposures(CVE)カタログのエントリCVE-2017-0144で示されています。 さまざまなバージョンのMicrosoftWindowsのSMBバージョン1(SMBv1)サーバーは、リモートの攻撃者から特別に細工されたパケットを受け入れるため、この脆弱性が存在します、ターゲットコンピューター上で任意のコードを実行できるようにします。[Emphasismine。]
結論として、マシンでSMBv1が無効になっている場合、EternalBlueエクスプロイトは不可能であり、WannaCryはマシンに感染できませんover SMB。
注:SMBv1は、Windows Server2003およびXPで使用可能なプロトコルの唯一のバージョンです。したがって、無効にすると、これらのシステムでのファイル共有も完全に無効になります。
はい、SMBv1の使用を停止する必要があります。 ずっと前に使用をやめたはずです。 しかし、無効にしても、とにかくこのセキュリティパッチをインストールしてください。
そうすることは冗長ではありません。それは賢明です。他の誰かがあなたの後ろに来てSMBv1を再度有効にし、システムにパッチが適用されていない場合、マシンは再び、ホストを簡単に検出されない方法で危険にさらす可能性のあるエクスプロイトに対して脆弱になります。そして次の男は彼が有効にした地雷に気付いていないかもしれません。
あなたが責任を負っているマシンにかかる責任は必要ありません。