Sebbene i problemi di sicurezza nei sistemi non siano affatto nuovi, la confusione causata dal software di riscatto di Wannacrypt ha portato all'azione immediata dei netizen. Il ransomware si riferisce alle vulnerabilità del servizio SMB nel sistema operativo Windows.
SMB or Server Message Block è un protocollo di condivisione file di rete per la condivisione di file, stampanti, ecc. tra computer. Sono disponibili tre versioni: Server Message Block (SMB) versione 1 (SMBv1), SMB versione 2 (SMBv2) e SMB versione 3 (SMBv3). Microsoft consiglia di disabilitare SMB1 per motivi di sicurezza e non è più importante farlo data l'epidemia di riscatto di WannaCrypt o NotPetya.
Disabilitare SMB1 su Windows
Per difendersi da WannaCrypt ransomware, è imperativo disabilitare SMB1 ed patch pubblicato da Microsoft. Diamo un'occhiata ad alcuni dei modi per disabilitare SMB1
Spegnere SMB1 tramite il controllo del sistema
Apri Pannello di controllo> Programmi e funzionalità> Abilitare o disabilitare le funzionalità di Windows
Nella lista delle opzioni sarebbe un'opzione Supporto di file SMB 1.0 / CIFS. Deselezionare la casella di controllo e premere OK.
Riavvia il tuo computer.
Disabilitare SMBv1 con PowerShell
Aprire una finestra di PowerShell in modalità amministratore, digitare il comando seguente e premere Invio per disabilitare SMB1:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanmanServerParameters 'SMB1 -type DWORD -valore 0 -force
Se per qualsiasi motivo è necessario disabilitare temporaneamente SMB versione 2 e versione 3, utilizzare questo comando:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 -type DWORD -valore 0 -Force
Si consiglia di disattivare la versione SMB 1 poiché è obsoleta e utilizza una tecnologia che ha quasi 30 anni.
Microsoft afferma che se si utilizza SMB1, si perde la protezione della chiave con versioni successive del protocollo SMB come:
- Integrità pre-autenticazione (SMB 3.1.1.1+): protegge dagli attacchi di disattivazione.
- Autenticazione guest non protetta (SMB 3.0+ su Windows 10+): protegge dagli attacchi MiTM.
- Negoziazione del dialogo sicuro (SMB 3.0, 3.02): protegge dagli attacchi di degrado della sicurezza.
- Migliore firma dei messaggi (SMB 2.02+): HMAC SHA-256 sostituisce MD5, poiché l'algoritmo hash in SMB 2.02, SMB 2.1 e AES-CMAC sostituisce SMB 3.0+. Prestazioni di firma migliorate in SMB2 e 3 (14)
- Crittografia (SMB 3.0+): impedisce la verifica dei dati sulla linea, attacchi MiTM. In SMB 3.1.1.1, le prestazioni di crittografia sono persino migliori rispetto alla firma.
Se si desidera abilitarli in seguito (non consigliato per SMB1), i comandi sarebbero i seguenti:
Per abilitare SMB1:
Set-ItemProperty path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB1 tipo valore DWORD 1 -Force
Per abilitare SMB2 e SMB3:
Set-ItemProperty path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 Tipo DWORD Valore 1 -Force
Disabilitare SMB1 tramite il registro di Windows
È anche possibile personalizzare il registro di Windows per disabilitare SMB1
Inizio regedit e vai alla prossima chiave di registro:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter leggi di più