Microsoft вновь призывает отключить SMBv1 на серверах Exchange: уязвимости в протоколе позволяют распространять зловреды +10







В начале февраля 2020 года команда Microsoft Exchange Team вновь дополнительно напомнила системным администраторам о необходимости отключения тридцатилетнего протокола SMBv1 на серверах Exchange 2013/2016/2019 в Windows Server 2008 R2, Windows Server 2012 и выше.

SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через \servername\sharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.

«Чтобы обеспечить лучшую защиту вашей организации Exchange от новейших угроз (например, от вредоносных программ Emotet, TrickBot или WannaCry), мы рекомендуем отключить SMBv1, если он включен на вашем сервере Exchange (2013/2016/2019), так как вы теряете ключевые средства защиты, предлагаемые более поздними версиями SMB-протокола», — советуют специалисты Microsoft.

Протокол SMBv1 имеет проблемы с безопасностью, которые были исправлены в более новых его версиях. Например, в SMBv2 и SMBv3 имеется шифрование, добавлены проверки целостности перед аутентификацией для предотвращения атак типа man-in-the-middle (MiTM), включено блокирование небезопасной гостевой аутентификации.

Microsoft пояснила, что в настоящее время уязвимости в протоколе SMBv1 до сих пор активно используются в таких эксплойтах, как EternalBlue и EternalRomance. Также атаки через SMBv1 широко распространены через зловредов и малварей типа TrickBot, Emotet, WannaCry, Retefe, NotPetya, Olympic Destroyer.

Инструкция от Microsoft, как проверять, включать и отключать протоколы SMBv1, SMBv2 и SMBv3 в разных версиях ОС Windows.

Microsoft с 2016 года просит системных администраторов отказываться от поддержки SMBv1, предупреждая каждые несколько месяцев, что использование этого протокола в организациях сейчас небезопасно.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (16):

  1. mvv-rus
    /#21276370

    Как я понял, в реальности эта новость означает несколько другое: команда разработки Exchange наконец-то удосужилась провести тестирование и доработку для предназначенных для работы на земле Exch2013-19 (Exch2010 ниасилили), чтобы им гарантированно не требовался SMB1.
    А так, больше ничего нового: стремление нынешней MS избавиться от поддержки совместимости со старыми системами (вместо того, чтобы исправлять ошибки в реализации старых протоколов)- оно давно и хорошо известно.

    • Sayaka
      /#21276480

      Ну так то правильное движение, зачем насиловать труп, когда есть новый протокол? Другой вопрос что в больших корпорациях как юзали много где старые протоколы так и будут.

    • Tufed
      /#21276892

      чтобы им гарантированно не требовался SMB1

      А про это разговора не было.

  2. Mur81
    /#21276492

    Если кто его до сих пор ещё не отключил, то уже наверное никогда не отключит.

    • Sayaka
      /#21276532

      Возможно при обновлении отключат.

      • Mur81
        /#21276688

        Не отключат. Очень много что поломаться может.
        Сейчас вон голову ломают как LDAP signing включить по умолчанию. Как я понял анонсировали давно уже, а сейчас откладывают опять вроде (в разных источниках показания расходятся).

    • Nikopol25
      /#21276558

      На работе есть старые NAS Текус, на них smb1, новые покупать не хотят. Пока не помрут будут стоять.

      • Mur81
        /#21276646

        Вот по этому я так и сказал.
        Тут два варианта:
        1. Нет технической возможности (что практически равносильно «нет денег»).
        2. Человек не IT'шник и просто не читает Хабр профильные ресурсы и не знает чем вообще опасен SMB1 и что это вообще такое.

      • Dvlbug
        /#21278016

        Если ответственность за сохранность данных лежит на вас, то пишите служебки (плюс копию у себя) о необходимости замены. Иначе, в российских реалиях ущерб могут повесить на вас.

    • semmaxim
      /#21300546

      Купил на днях новейшую приставку Nvidia Shield 2019. Так вот пришлось именно включить этот протокол — иначе по сети к ней не достучаться.

  3. Abyss777
    /#21276542

    А кудаж девать весь парк старых Kyocera 1035/6025 которые только SMBv1 умеють...

    • Mur81
      /#21276628

      FTP есть там?

      • Tufed
        /#21276868

        Есть, и smtp там есть. У 1035-го точно был, пока я его на 2535-й не заменил.

    • ildarz
      /#21276670

      Сканировать на отдельный сервак, специально для этого предназначенный. Доп. меры его защиты (отдельный VLAN, доступ со строго определенных машин, всякие антвирусы и прочая, самба вместо винды, и т.д., и т.п.) — по вкусу и необходимости.

  4. staticmain
    /#21279040

    уязвимости в протоколе SMBv1

    Может уязвимость не в протоколе SMBv1, а в реализации протокола от Microsoft?

    • ildarz
      /#21291504

      В нынешних реалиях он небезопасен сам по себе, независимо от реализации.