Как вы знаете, после многочисленных атак программ-вымогателей компания Microsoft решила отключить SMBv1 по умолчанию в ОС Windows.
Однако, несмотря на выпуск патча (МС17-010) для устранения этих атак, похоже, чтоMicrosoft по-прежнему выступает занетиспользуй это.
Еще более запутанным является то, что патч, ссылка на который приведена выше, по-видимому, касается только сервера SMBv1, а не клиента:
Это обновление безопасности устраняет уязвимости в Microsoft Windows. Наиболее серьезная из уязвимостей может позволить удаленное выполнение кода, если злоумышленник отправит специально созданные сообщения в Microsoft Server Message Block 1.0 (SMBv1)сервер.
В моем случае на моем компьютере с Windows 10 мне нужно было бы использовать клиент SMBv1 для доступа к сетевому жесткому диску, подключенному к модему/маршрутизатору, который поддерживает только SMBv1 и напрямую подключен к Интернету...
Если предположить, что исправление устраняет уязвимости как сервера, так и клиентов SMBv1, почему нам все равно советуют держаться подальше от SMBv1?
Действительно ли мы сталкиваемся с какими-либо серьезными рисками, включив его после установки исправления?
решение1
Проблема безопасности SMBv1 заключается в ошибке в конструкции протокола, поэтому даже если Microsoft нашла способ заблокироватьособыйНесмотря на то, что на сегодняшний день обнаружено множество атак, все еще могут быть разработаны новые вариации, которые позволят обойти блокировку.
Попытка продолжать использовать SMBv1 приведет к игре в «Бей крота» против авторов вредоносного ПО, требующей от всех следить за новыми эксплойтами и создавать и применять исправления для них в спешке, как только они появляются. Пока SMBv1 будет широко использоваться, поток новых эксплойтов будет продолжаться.
Microsoft уже объявила о графике устаревания SMBv1, когда червь WannaCry использовал уязвимости SMBv1, чтобы распространяться как лесной пожар. Поэтому Microsoft решила решить проблему, ускорив график устаревания: это полностью устранило бы основную причину уязвимостей.
https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
SMB1 небезопасен
При использовании SMB1 вы теряете ключевые средства защиты, предлагаемые более поздними версиями протокола SMB:
- Целостность предварительной аутентификации (SMB 3.1.1+). Защищает от атак, направленных на снижение уровня безопасности.
- Безопасное согласование диалекта (SMB 3.0, 3.02). Защищает от атак, направленных на снижение уровня безопасности.
- Шифрование (SMB 3.0+). Предотвращает проверку данных на линии, атаки MiTM. В SMB 3.1.1 производительность шифрования даже выше, чем подписи!
- Небезопасная блокировка гостевой аутентификации (SMB 3.0+ на Windows 10+). Защищает от атак MiTM.
- Лучшая подпись сообщений (SMB 2.02+). HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования в SMB 2.02, SMB 2.1, а AES-CMAC заменяет его в SMB 3.0+. Производительность подписи увеличивается в SMB2 и 3.
Самое неприятное, что независимо от того, как вы все это защищаете, если ваши клиенты используют SMB1, то посредник может сказать вашему клиенту:игнорировать все вышесказанное. Все, что им нужно сделать, это заблокировать SMB2+ на себе и отвечать на имя или IP вашего сервера. Ваш клиент с радостью будет дергаться на SMB1 и делиться всеми своими самыми темными секретами, если только вы не потребовали шифрование на этом ресурсе, чтобы предотвратить SMB1 в первую очередь. Это не теория — мы это видели.
Эту цитату написал Нед Пайл, владелец протокола SMB в Microsoft на момент написания статьи. Так что это настолько прямая информация из первых уст, насколько это возможно.