Спецпроекты

ПО Безопасность ИТ в госсекторе Маркет

Microsoft упрашивает сисадминов отключить древний протокол, чтобы не пустить на ПК шифровальщика, нападавшего на госорганы

Microsoft призывает администраторов Exchange отказаться от использования давным-давно устаревшего протокола SMBv1, чтобы избежать заражения Emotet, Trickbot и особенно известного в российских госорганах WannaCry.

Древний протокол

Microsoft в очередной раз порекомендовала администраторам серверов Exchange отключить поддержку протокола SMBv1, чтобы застраховаться от кибератак. Речь идет, в первую очередь, об атаках троянцев TrickBot, Emotet и WannaCry.

Напомним, масштабная эпидемия последнего из них разразилась в мае 2017 г. WannaCry требовал выкуп за расшифровку информации в биткойнах. Вирус действовал по всему миру, но наибольшие последствия от его деятельности были отмечены в России: он поразил компьютеры МВД, Следственного комитета, Минздрава, МЧС, «Мегафона», Yota и других организаций.

SMBv1 — старый сетевой протокол для предоставления общего доступа к файлам, принтерам и серийным портам. В нем реализован также механизм авторизованного обмена данными между процессами. Протоколу уже почти 30 лет, он полон уязвимостей и, тем не менее, им до сих пор пользуются.

Microsoft присвоил протоколу статус deprecated (нерекомендуемый) в 2014 г., а с 2016 г. настоятельно рекомендует прекратить его использование. В более поздних версиях протокола реализованы многочисленные защитные механизмы, в том числе шифрование, проверка целостности данных перед авторизацией и другие, нацеленные на предотвращение MiTM-атак.

microsoft_558.jpg
Microsoft призывает администраторов Exchange отказаться от использования давным-давно устаревшего протокола SMBv1

В 2017 г. Shadow Brokers опубликовали большое количество эксплойтов, использовавшихся в разведывательных целях Агентством нацбезопасности США. Большая их часть была нацелена именно на Windows, и некоторые использовали как раз слабые места SMBv1. Среди них — печально известные EternalBlue и EternalRomance, эксплойты, задействованные в таких вредоносах как вызвавший глобальную эпидемию WannaCry, а также Emotet, TrickBot, Retefe, NotPetya и Olympic Destroyer. Эти программы до сих пор весьма распространены и причиняют немало проблем.

В Windows 10 и Windows Server с версии 1709 SMBv1 не устанавливается вообще, вместо него используется SMBv3. Но он до сих пор встречается в Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2.

В выпущенной тематической публикации Microsoft подробно разъясняется, в чем заключаются основные проблемы SMBv1 и пошаговая инструкция по его отключению в разных операционных системах.

Зачем он нужен?

«В использовании протокола SMBv1 почти 30-летней давности нет никакой необходимости, если в вашей системе установлены Exchange 2013/2016/2019. SMBv1 небезопасен, и вы теряете ключевые преимущества в защите более поздних версий SMB», — говорится в публикации Microsoft.

«Призывы отказаться от старых протоколов раздаются регулярно, и столь же регулярно игнорируются, — указывает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Очевидно, что вычистить полностью SMBv1 в ближайшие годы не удастся, скорее всего, он уйдет естественным образом, по мере выхода из употребления ПО, в котором он все еще поддерживается. Атаки на SMBv1, скорее всего, ускорят процесс, но вряд ли сильно. Хотя по большому счету, не помешала бы массовая кампания по избавлению от этого протокола».

Роман Георгиев

Короткая ссылка