Η Microsoft συστήνει στους admins να απενεργοποιήσουν το πρωτόκολλο επικοινωνίας δικτύου SMBv1 στους Exchange servers για να αποτρέψουν τις επιθέσεις malware.
Η Microsoft παροτρύνει τους administrators να απενεργοποιήσουν το πρωτόκολλο SMBv1 στους Exchange servers ως αντιστάθμισμα κατά των malware απειλών όπως το TrickBot και το Emotet.
“Για να βεβαιωθείτε ότι ο Exchange οργανισμός σας είναι καλύτερα προστατευμένος από τις πιο πρόσφατες απειλές (για παράδειγμα τα malware Emotet, TrickBot ή WannaCry) σας προτείνουμε να απενεργοποιήσετε το SMBv1 εάν είναι ενεργοποιημένο στον Exchange (2013/2016/2019) server σας”. συμβουλεύει η Microsoft.
Το πρωτόκολλο SMBv1 είναι ένα πρωτόκολλο επικοινωνίας δικτύου για την παροχή κοινής πρόσβασης σε αρχεία, εκτυπωτές και σειριακές θύρες μεταξύ των κόμβων σε ένα δίκτυο. Παρέχει επίσης έναν πιστοποιημένο ως προς την αυθεντικότητα μηχανισμό επικοινωνίας μεταξύ διεργασιών.
Το Exchange επισημαίνει την ανάγκη απανεργοποίησης των exchange servers SMBv1on.
“Δεν χρειάζεται να τρέξετε το σχεδόν 30 ετών πρωτόκολλο SMBv1 όταν το Exchange 2013/2016/2019 είναι εγκατεστημένο στο σύστημά σας. Το SMBv1 δεν είναι ασφαλές και χάνετε τις βασικές προστασίες που προσφέρονται από τις μεταγενέστερες εκδόσεις πρωτοκόλλου SMB. Εάν θέλετε να μάθετε περισσότερα για το SMBv1 και γιατί πρέπει να σταματήσετε να το χρησιμοποιείτε, θα συνιστούσα να διαβάσετε αυτό το blog που δημοσιεύτηκε και ενημερώθηκε από τον Ned Pyle “, συνεχίζει η Microsoft.
“Η Microsoft δημοσίως απόρριψε το πρωτόκολλο SMBv1 το 2014 και έτσι σταματήσαμε να το εγκαθιστούμε από προεπιλογή κατά τη χρήση του Windows Server 2016 1709 (RS3).
Το 2017, η ομάδα hacking της Shadow Brokers κυκλοφόρησε μια συλλογή των NSA exploits και των εργαλείων hacking που στοχεύουν στο λειτουργικό σύστημα των Windows της Microsoft, ορισμένα από τα οποία αναπτύχθηκαν για να εκμεταλλευτούν το πρωτόκολλο SMBv1 και να εκτελέσουν εντολές σε ευπαθείς servers με δικαιώματα administrator.
Δύο από τα πιο δημοφιλή exploits που εφαρμόστηκαν σήμερα σε πολλά στελέχη malware είναι το EternalBlue και το EternalRomance. Η λίστα των κακόβουλων προγραμμάτων συμπεριλαμβανομένων των exploits είναι μεγάλη και περιλαμβάνει τα Emotet, TrickBot, WannaCry, Retefe, NotPetya και τον Olympic Destroyer.
Το SMBv1 δεν είναι πλέον εγκατεστημένο από προεπιλογή από τα Windows 10 έκδοση 1709 και Windows Server έκδοση 1709, ενώ οι τελευταίες εκδόσεις των λειτουργικών συστημάτων χρησιμοποιούν SMBv3.
Για να ελέγξετε αν το SMBv1 είναι ενεργοποιημένο σε ένα server Windows, μπορείτε να τρέξετε τις ακόλουθες εντολές PowerShell ανάλογα με την έκδοση του Windows Server.
Windows Server 2008 R2: Από προεπιλογή, το SMBv1 είναι ενεργοποιημένο στον Windows Server 2008 R2. Επομένως, εάν η ακόλουθη εντολή δεν επιστρέφει το value SMB1 ή το value SMB1 1, τότε είναι ενεργοποιημένη. Αν επιστρέφει το value SMB1 0, απενεργοποιείται.
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Windows Server 2012: Αν η εντολή επιστρέψει το αποτέλεσμα false, το SMBv1 δεν είναι ενεργοποιημένο.
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Windows Server 2012 R2 ή νεότερη έκδοση: Εάν η εντολή επιστρέψει το false, το SMBv1 δεν είναι ενεργοποιημένο.
(Get-WindowsFeature FS-SMB1).Installed
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Εάν το SMBv1 είναι ενεργοποιημένο στο server του admin, μπορεί να το απενεργοποιήσει χρησιμοποιώντας τις παραπάνω εντολές.
Windows Server 2008 R2:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” -Name SMB1 -Type DWORD -Value 0 –Force
Windows Server 2012:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -force
Windows Server 2012 R2 ή νεότερη έκδοση:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false
