Embora os problemas de segurança nos sistemas não sejam novos, a confusão causada pelo software de resgate Wannacrypt levou a uma ação imediata entre os internautas. O Ransomware visa as vulnerabilidades do serviço SMB no sistema operacional Windows.
SMB or Server Message Block é um protocolo de compartilhamento de arquivos de rede para compartilhamento de arquivos, impressoras, etc. entre computadores. Existem três versões: Server Message Block (SMB) Versão 1 (SMBv1), SMB Versão 2 (SMBv2) e SMB Versão 3 (SMBv3). A Microsoft recomenda que você desative o SMB1 por motivos de segurança - e não é mais importante fazê-lo devido à epidemia de resgate de WannaCrypt ou NotPetya.
Desativar o SMB1 no Windows
Para se defender contra o ransomware WannaCrypt, é imperativo desativar SMB1 e remendos publicado pela Microsoft. Vamos dar uma olhada em algumas das maneiras de desabilitar SMB1
Desligue o SMB1 através do controle do sistema
Abra o Painel de Controle> Programas e Recursos> Ativar ou desativar recursos do Windows
Na lista de opções seria uma opção Suporte de compartilhamento de arquivos SMB 1.0 / CIFS. Desmarque a caixa de seleção e pressione OK.
Reinicie o computador.
Desativar SMBv1 com o Powershell
Abra uma janela do PowerShell no modo de administrador, digite o seguinte comando e pressione Enter para desativar o SMB1:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanmanServerParameters 'SMB1 -type DWORD -value 0 -force
Se, por algum motivo, você precisar desativar temporariamente o SMB versão 2 e 3, use este comando:
Set-ItemProperty -path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 -type DWORD -value 0 -Force
Recomenda-se desativar a versão 1 do SMB, pois ela é obsoleta e usa tecnologia com quase 30 anos.
A Microsoft diz que, se você usar o SMB1, perderá a proteção de chave com versões posteriores do protocolo SMB, como:
- Integridade de pré-autenticação (SMB 3.1.1.1+) - Protege contra ataques de desativação.
- Autenticação de convidado não segura (SMB 3.0+ no Windows 10+) - Protege contra ataques MiTM.
- Negociação de diálogo seguro (SMB 3.0, 3.02) - Protege contra ataques de degradação de segurança.
- Melhor assinatura de mensagem (SMB 2.02+) - HMAC SHA-256 substitui MD5, como o algoritmo de hash em SMB 2.02, SMB 2.1 e AES-CMAC substitui SMB 3.0+. Desempenho de assinatura aumentado em SMB2 e 3 (14)
- Criptografia (SMB 3.0+) - Impede a verificação de dados na linha, ataques MiTM. No SMB 3.1.1.1, o desempenho da criptografia é ainda melhor do que ao assinar.
Se você quiser habilitá-los posteriormente (não recomendado para SMB1), os comandos serão os seguintes:
Para ativar o SMB1:
Set-ItemProperty path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'Tipo SMB1 Valor DWORD 1 -Force
Para ativar SMB2 e SMB3:
Set-ItemProperty path'HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters 'SMB2 Tipo DWORD Valor 1 -Force
Desabilitar o SMB1 via registro do Windows
Você também pode personalizar o registro do Windows para desativar o SMB1
Início regedit e navegue até a próxima chave do Registro:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter leia mais