ご存知のとおり、数々のランサムウェア攻撃を受けて、Microsoft は Windows OS で SMBv1 をデフォルトで無効にすることを決定しました。
しかし、パッチをリリースしたにもかかわらず(MS17-010)これらの攻撃に対処するために、マイクロソフトは依然として主張しているないそれを使用して。
さらに混乱を招くのは、上にリンクされているパッチが SMBv1 サーバーのみを対象としており、クライアントを対象としていないことです。
このセキュリティ更新プログラムは、Microsoft Windows の脆弱性を解決します。最も深刻な脆弱性では、攻撃者が Microsoft Server Message Block 1.0 (SMBv1) に特別に細工したメッセージを送信すると、リモートでコードが実行される可能性があります。サーバ。
私の場合、Windows 10 マシンでは、SMBv1 クライアントを使用して、SMBv1 のみをサポートし、インターネットに直接接続されているモデム/ルーターに接続されたネットワーク ハード ドライブにアクセスする必要があります...
パッチが SMBv1 サーバーとクライアントの両方の脆弱性に対処していると仮定すると、なぜ SMBv1 を避けるように依然として推奨されるのでしょうか?
パッチを適用した後、それを有効にすると本当に重大なリスクに直面するのでしょうか?
答え1
SMBv1のセキュリティ問題はプロトコル設計上のミスであるため、マイクロソフトがSMBv1をブロックする方法を見つけたとしても、特定のこれまでに発見された攻撃とは異なり、ブロックを回避する新たなバリエーションが開発される可能性はまだあります。
SMBv1 を使い続けようとすると、マルウェア作成者に対するモグラ叩きゲームのような結果になり、誰もが新しいエクスプロイトに注意を払い、出現したらすぐにパッチを作成して適用する必要があります。SMBv1 が広く使用されている限り、新しいエクスプロイトは次々と登場し続けるでしょう。
WannaCry ワームが SMBv1 の脆弱性を利用して急速に拡散したとき、Microsoft はすでに SMBv1 の廃止スケジュールを発表していました。そこで Microsoft は、廃止スケジュールを早めることによって問題を解決することを決定しました。これにより、脆弱性の根本原因が完全に排除されます。
https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
SMB1は安全ではない
SMB1 を使用すると、以降の SMB プロトコル バージョンで提供される重要な保護が失われます。
- 事前認証整合性 (SMB 3.1.1+)。セキュリティ ダウングレード攻撃から保護します。
- セキュア ダイアレクト ネゴシエーション (SMB 3.0、3.02)。セキュリティ ダウングレード攻撃から保護します。
- 暗号化 (SMB 3.0+)。ネットワーク上のデータの検査や MiTM 攻撃を防止します。SMB 3.1.1 では、暗号化のパフォーマンスは署名よりもさらに優れています。
- 安全でないゲスト認証のブロック (Windows 10 以降の SMB 3.0 以降)。MiTM 攻撃から保護します。
- メッセージの署名が改善されました (SMB 2.02+)。SMB 2.02、SMB 2.1 ではハッシュ アルゴリズムとして MD5 が HMAC SHA-256 に置き換えられ、SMB 3.0+ では AES-CMAC に置き換えられました。SMB2 および 3 では署名のパフォーマンスが向上しました。
厄介なのは、これらすべてをどのように保護しても、クライアントがSMB1を使用している場合、中間者がクライアントに上記すべてを無視する. クライアント側で必要なのは、SMB2+ をブロックして、サーバーの名前または IP に応答することだけです。SMB1 を阻止するためにその共有で暗号化を要求しない限り、クライアントは SMB1 で喜んで悪ふざけをし、その最も暗い秘密をすべて共有します。これは理論上の話ではなく、実際に見たことがあります。
この引用文は、この記事の執筆時点で Microsoft の SMB プロトコルの所有者である Ned Pyle 氏によって書かれたものです。つまり、これは当事者の口から直接聞いた言葉なのです。