O "wannacrypt" (wcrypt) pode se espalhar através do servidor Linux, servindo por SMB?

8

É possível ou isso só se espalhará através de uma máquina Windows servindo por SMB?

Se o Linux que serve por SMB pode espalhar o wannacrypt, qual a abordagem a ser adotada?

fredrik
fonte
Eu desafiaria a suposição de que o vinho não é afetado. O AFAIK Wine está usando as DLLs fornecidas, portanto, isso deve ser verificado minuciosamente.
Byteborg 15/05
WanaCrypt0r foi executado com sucesso em vinho por um Ask Ubuntu mod: askubuntu.com/a/914954/271
Andrea Lazzarotto

Respostas:

8

Em geral, qualquer ransomware pode criptografar qualquer coisa ao qual o usuário infectado tenha acesso, como qualquer outro malware pode gravar em qualquer lugar usando as permissões da conta que o executa. Isso não é igual a tornar-se ativo para outros usuários, mas pode afetar todos os compartilhamentos aos quais o usuário tem acesso.

Contramedidas:

  • Evite com proteção antivírus e firewall, como de costume.

  • Forçar todos os clientes a instalar atualizações regularmente.

  • Os backups são a maneira mais poderosa de lidar com todos os ransomware após a infecção. Eventualmente, alguns de seus usuários terão um que ainda não foi reconhecido pela sua proteção antivírus. Tenha um backup ao qual seus usuários não tenham acesso de gravação. Caso contrário, os backups são inúteis, porque o ransomware também tem acesso igual para escrever sobre os backups.

    Um backup offline é a maneira mais segura de conseguir isso, mas pode não ser muito prático, pois você precisa fazer mais manualmente e lembre-se de fazê-lo regularmente.

    Normalmente, tenho uma máquina independente que usa credenciais separadas para acessar os locais a serem copiados. Lá, eu tenho um backup incremental que pode armazenar alterações durante semanas ou meses. É bom contra ransomware e erros do usuário.


O WannaCry está usando uma vulnerabilidade na implementação do Windows para SMB: o protocolo em si não é vulnerável. De uma notícia no MalwareLess :

Os ataques do WannaCry são iniciados usando uma execução remota de código SMBv2 no Microsoft Windows OS. A exploração do EternalBlue foi disponibilizada publicamente através do despejo de Shadowbrokers em 14 de abril de 2017 e corrigida pela Microsoft em 14 de março. No entanto, muitas empresas e organizações públicas ainda não instalaram o patch em seus sistemas.

O patch mencionado é o MS17-010 , Atualização de segurança para o Microsoft Windows SMB Server ( 4013389 ):

Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows. A mais grave das vulnerabilidades pode permitir a execução remota de código se um invasor enviar mensagens especialmente criadas para um servidor SMBv1 (Microsoft Server Message Block 1.0).

Portanto, não afeta o Linux. O Windows também é seguro após a instalação da atualização. No entanto, se ainda houver um computador cliente com um Windows não corrigido, os dados em um compartilhamento poderão não estar seguros.

Esa Jokinen
fonte
Por "em geral", quero dizer que você não deve se concentrar no que um único ransomware é capaz de fazer atualmente. O ransomware evolui e seus usuários podem ser infectados por outro ransomware.
Esa Jokinen
Obrigado - embora você esteja certo, isso realmente não respondeu à minha pergunta inicial sobre se o wannacry se espalha apenas pelo SMBv1 no Windows.
Fredrik 15/05
Se você encontrou uma resposta, pode adicionar a citação como resposta, em vez de editar a pergunta original. Ainda assim, mesmo que a parte do worm do malware não tenha se espalhado usando outra implementação que não a Microsoft, o que significa que o protocolo em si não é o problema, os dados não podem ser considerados seguros.
Esa Jokinen
1

Encontrou isso, embora nenhuma fonte tenha sido fornecida para fazer backup da reivindicação:

O WannaCry explora um conjunto de falhas na implementação do protocolo SMB1 pela Microsoft. Como essas são falhas de implementação e não estruturais no próprio protocolo, os sistemas Linux são imunes. Isso ocorre independentemente de os sistemas estarem executando o Samba, Wine ou qualquer outra camada de emulação do Windows.

https://security.stackexchange.com/a/159405

fredrik
fonte
comentários subseqüentes mostram que a imunidade Linux não é perfeito
Schroeder
0

Não, mas se você estiver preocupado ...

Outra coisa a fazer é desativar a capacidade dos clientes de conectar as portas de saída TCP 137, 139 e 445 e UDP 137, 138 à WAN no seu roteador.

Dessa forma, você evita que seus PCs se conectem a servidores SMB que não sejam da LAN. Você também deve usar o firewall do Windows para impedir SMB pública / privada e permitir comunicação somente de domínio para seus intervalos de sub-rede, se puder.

Por fim, instale a atualização e desative o SMB 1.0, se possível. Você não deve ter nada com que se preocupar se fizer isso.

NotoriousPyro
fonte