Παρασκευή, 5 Ιουνίου, 13:16
Αρχική security Microsoft: Exchange admins απενεργοποιήστε το πρωτόκολλο SMBv1

Microsoft: Exchange admins απενεργοποιήστε το πρωτόκολλο SMBv1

Η Microsoft συστήνει στους admins να απενεργοποιήσουν το πρωτόκολλο επικοινωνίας δικτύου SMBv1 στους Exchange servers για να αποτρέψουν τις επιθέσεις malware.

Η Microsoft παροτρύνει τους administrators να απενεργοποιήσουν το πρωτόκολλο SMBv1 στους Exchange servers ως αντιστάθμισμα κατά των malware απειλών όπως το TrickBot και το Emotet.

“Για να βεβαιωθείτε ότι ο Exchange οργανισμός σας είναι καλύτερα προστατευμένος από τις πιο πρόσφατες απειλές (για παράδειγμα τα malware Emotet, TrickBot ή WannaCry) σας προτείνουμε να απενεργοποιήσετε το SMBv1 εάν είναι ενεργοποιημένο στον Exchange (2013/2016/2019) server σας”. συμβουλεύει η Microsoft.

Το πρωτόκολλο SMBv1 είναι ένα πρωτόκολλο επικοινωνίας δικτύου για την παροχή κοινής πρόσβασης σε αρχεία, εκτυπωτές και σειριακές θύρες μεταξύ των κόμβων σε ένα δίκτυο. Παρέχει επίσης έναν πιστοποιημένο ως προς την αυθεντικότητα μηχανισμό επικοινωνίας μεταξύ διεργασιών.

Το Exchange επισημαίνει την ανάγκη απανεργοποίησης των exchange servers SMBv1on.

“Δεν χρειάζεται να τρέξετε το σχεδόν 30 ετών πρωτόκολλο SMBv1 όταν το Exchange 2013/2016/2019 είναι εγκατεστημένο στο σύστημά σας. Το SMBv1 δεν είναι ασφαλές και χάνετε τις βασικές προστασίες που προσφέρονται από τις μεταγενέστερες εκδόσεις πρωτοκόλλου SMB. Εάν θέλετε να μάθετε περισσότερα για το SMBv1 και γιατί πρέπει να σταματήσετε να το χρησιμοποιείτε, θα συνιστούσα να διαβάσετε αυτό το blog που δημοσιεύτηκε και ενημερώθηκε από τον Ned Pyle “, συνεχίζει η Microsoft.

“Η Microsoft δημοσίως απόρριψε το πρωτόκολλο SMBv1 το 2014 και έτσι σταματήσαμε να το εγκαθιστούμε από προεπιλογή κατά τη χρήση του Windows Server 2016 1709 (RS3).

Το 2017, η ομάδα hacking της Shadow Brokers κυκλοφόρησε μια συλλογή των NSA exploits και των εργαλείων hacking που στοχεύουν στο λειτουργικό σύστημα των Windows της Microsoft, ορισμένα από τα οποία αναπτύχθηκαν για να εκμεταλλευτούν το πρωτόκολλο SMBv1 και να εκτελέσουν εντολές σε ευπαθείς servers με δικαιώματα administrator.

Δύο από τα πιο δημοφιλή exploits που εφαρμόστηκαν σήμερα σε πολλά στελέχη malware είναι το EternalBlue και το EternalRomance. Η λίστα των κακόβουλων προγραμμάτων συμπεριλαμβανομένων των exploits είναι μεγάλη και περιλαμβάνει τα Emotet, TrickBot, WannaCry, Retefe, NotPetya και τον Olympic Destroyer.

Το SMBv1 δεν είναι πλέον εγκατεστημένο από προεπιλογή από τα Windows 10 έκδοση 1709 και Windows Server έκδοση 1709, ενώ οι τελευταίες εκδόσεις των λειτουργικών συστημάτων χρησιμοποιούν SMBv3.

SMBv1 Microsoft

Για να ελέγξετε αν το SMBv1 είναι ενεργοποιημένο σε ένα server Windows, μπορείτε να τρέξετε τις ακόλουθες εντολές PowerShell ανάλογα με την έκδοση του Windows Server.

Windows Server 2008 R2: Από προεπιλογή, το SMBv1 είναι ενεργοποιημένο στον Windows Server 2008 R2. Επομένως, εάν η ακόλουθη εντολή δεν επιστρέφει το value SMB1 ή το value SMB1 1, τότε είναι ενεργοποιημένη. Αν επιστρέφει το value SMB1 0, απενεργοποιείται.

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Windows Server 2012: Αν η εντολή επιστρέψει το αποτέλεσμα false, το SMBv1 δεν είναι ενεργοποιημένο.

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Windows Server 2012 R2 ή νεότερη έκδοση: Εάν η εντολή επιστρέψει το false, το SMBv1 δεν είναι ενεργοποιημένο.

(Get-WindowsFeature FS-SMB1).Installed

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Εάν το SMBv1 είναι ενεργοποιημένο στο server του admin, μπορεί να το απενεργοποιήσει χρησιμοποιώντας τις παραπάνω εντολές.

Windows Server 2008 R2:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” -Name SMB1 -Type DWORD -Value 0 –Force

Windows Server 2012:

Set-SmbServerConfiguration -EnableSMB1Protocol $false -force

Windows Server 2012 R2 ή νεότερη έκδοση:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Κίνα και Ιράν προσπάθησαν να χακάρουν τις εκστρατείες Biden και Trump

Η Κίνα και το Ιράν προσπάθησαν να χακάρουν τις προεκλογικές εκστρατείες τόσο του Biden όσο και του Trump.

Gaia-X: η νέα πλατφόρμα cloud computing της Ευρώπης

Φαίνεται ότι η Ευρώπη αποφάσισε να απαλλαγεί από την Αμερική σε ότι αφορά τις υπηρεσίες cloud computing, δημιουργώντας το «Gaia-X».

CPA Canada: Παραβίαση δεδομένων επηρεάζει 329,000 άτομα

Ο οργανισμός Chartered Professional Accountants of Canada (CPA) αποκάλυψε ότι το site CPA Canada παραβιάστηκε από hackers,...

Η τεχνολογία με τον τρόπο που έχει σχεδιαστεί διαιωνίζει τον ρατσισμό

Σήμερα οι Ηνωμένες Πολιτείες καταρρέουν κάτω από το βάρος δύο πανδημιών: τον COVID -19 και την αστυνομική βαρβαρότητα. Και οι δύο προκαλούν...

Tycoon ransomware: Σε κίνδυνο Windows και Linux υπολογιστές!

Ένα νέο ransomware, που ανακαλύφθηκε πρόσφατα, στοχεύει συστήματα Windows και Linux. Το ransomware ονομάζεται Tycoon και είναι...

Τα νέα iPad Pro της Apple με σύνδεση 5G, A14X τσιπ και Mini-LED οθόνη!

Η Apple πρόκειται να κυκλοφορήσει νέα μοντέλα iPad Pro με το Α14Χ τσιπ, σύνδεση 5G, και οθόνη Mini-LED στο πρώτο μισό του...

Cisco: Σφάλματα σε IOS router επιτρέπουν πλήρη παραβίαση συστημάτων

Η Cisco αποκάλυψε τέσσερα κρίσιμα σφάλματα ασφαλείας που επηρεάζουν τον εξοπλισμό των router που χρησιμοποιούν τα IOS XE και IOS λογισμικά της....

Linux Greenie: Κυκλοφόρησε η έκδοση 20.04 με νέο desktop

Το Greenie Linux, είναι ένα λειτουργικό σύστημα βασισμένο στο ubuntu, το οποίο κατασκευάστηκε ειδικά για χρήστες που...

Zoom: Σφάλματα επιτρέπουν την παραβίαση συστημάτων συμμετεχόντων!

Ερευνητές ασφαλείας από την Cisco Talos ανακάλυψαν δύο σφάλματα στη δημοφιλή εφαρμογή τηλεδιάσκεψης Zoom, τα οποία μπορούν να επιτρέψουν σε έναν κακόβουλο...

Η ανίχνευση του “Incognito mode” δεν έχει διορθωθεί ακόμη από τον Chrome

Τα website εξακολουθούν να είναι σε θέση να εντοπίζουν πότε ένας επισκέπτης χρησιμοποιεί τη λειτουργία Incognito mode του Chrome, παρά τις προσπάθειες...