«Wannacrypt» (wcrypt) peut-il se propager via un serveur Linux servant sur SMB?


8

Est-il possible, ou cela ne se propagera-t-il que via une machine Windows servant sur SMB?

Si Linux servant sur SMB peut propager wannacrypt, quelle approche adopter?


Je contesterais l'hypothèse que le vin n'est pas affecté. AFAIK Wine utilise les DLL fournies, cela doit donc être soigneusement vérifié.
byteborg

WanaCrypt0r a été exécuté avec succès dans Wine par un mod Ask Ubuntu: askubuntu.com/a/914954/271
Andrea Lazzarotto

Réponses:


8

En général, tout ransomware peut crypter tout ce à quoi l'utilisateur infecté a accès, comme tout autre malware peut écrire n'importe où en utilisant les autorisations du compte qui l'exécute. Cela ne signifie pas qu'il devient actif pour les autres utilisateurs, mais cela peut affecter tous les partages auxquels l'utilisateur a accès.

Contre-mesures:

  • Empêchez avec une protection antivirus et un pare-feu, comme d'habitude.

  • Forcer tous les clients à installer régulièrement des mises à jour.

  • Les sauvegardes sont le moyen le plus puissant de gérer tous les ransomwares après une infection. Finalement, certains de vos utilisateurs en auront un qui n'a pas encore été reconnu par votre protection antivirus. Ayez une sauvegarde à laquelle vos utilisateurs n'ont pas accès en écriture. Sinon, les sauvegardes sont inutiles, car le ransomware a également un accès égal pour écrire sur les sauvegardes.

    Une sauvegarde hors ligne est le moyen le plus sûr d'y parvenir, mais peut ne pas être très pratique car vous devez en faire plus manuellement et n'oubliez pas de le faire régulièrement.

    J'ai généralement une machine indépendante qui utilise des informations d'identification séparées pour accéder aux emplacements à sauvegarder. Là, j'ai une sauvegarde incrémentielle qui peut stocker toutes les modifications au cours des semaines ou des mois. C'est bon contre les ransomwares et les erreurs des utilisateurs.


WannaCry utilise une vulnérabilité dans l'implémentation Windows de SMB: le protocole lui-même n'est pas vulnérable. Extrait d'un article d'actualité sur MalwareLess :

Les attaques WannaCry sont lancées à l'aide d'une exécution de code à distance SMBv2 dans le système d'exploitation Microsoft Windows. L'exploit EternalBlue a été rendu public via le vidage de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 mars. Cependant, de nombreuses entreprises et organisations publiques n'ont pas encore installé le correctif sur leurs systèmes.

Le correctif mentionné est MS17-010 , Mise à jour de sécurité pour Microsoft Windows SMB Server ( 4013389 ):

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. La plus grave des vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1).

Par conséquent, cela n'affecte pas Linux. Windows est également sécurisé après l'installation de la mise à jour. Cependant, s'il existe toujours un ordinateur client avec un Windows sans correctif, les données sur un partage peuvent ne pas être en sécurité.


Par «en général», je veux dire que vous ne devriez pas vous concentrer sur ce qu'un seul ransomware est capable de faire actuellement. Les ransomwares évoluent et vos utilisateurs peuvent être infectés par d'autres ransomwares.
Esa Jokinen

Merci - bien que vous ayez raison, cela n'a pas vraiment répondu à ma question initiale de savoir si le wannacry se propage uniquement via SMBv1 sur Windows.
fredrik

Si vous avez trouvé une réponse, vous pouvez ajouter la citation comme réponse au lieu de modifier la question d'origine. Pourtant, même si la partie ver du logiciel malveillant n'a pas pu se propager en utilisant autre que la mise en œuvre de Microsoft, ce qui signifie que le protocole lui-même n'est pas le problème, les données ne peuvent pas être considérées comme sûres.
Esa Jokinen

1

J'ai trouvé cela, bien qu'aucune source n'ait été fournie pour sauvegarder la réclamation:

WannaCry exploite un ensemble de failles dans la mise en œuvre par Microsoft du protocole SMB1. Comme ce sont des défauts d'implémentation plutôt que des défauts structurels dans le protocole lui-même, les systèmes Linux sont immunisés. Cela est vrai que les systèmes exécutent Samba, Wine ou toute autre couche d'émulation Windows.

https://security.stackexchange.com/a/159405


les commentaires suivants montrent que l'immunité Linux n'est pas parfaite
schroeder

0

Non, mais si tu es inquiet ...

Une autre chose à faire est de désactiver la capacité des clients à connecter les ports sortants TCP 137, 139 et 445 et UDP 137, 138 au WAN sur votre routeur.

De cette façon, vous empêchez vos PC de se connecter à des serveurs SMB non LAN. Vous devez également utiliser le pare-feu Windows pour empêcher les PME publiques / privées et autoriser la communication de domaine uniquement pour vos plages de sous-réseau si vous le pouvez.

Installez enfin la mise à jour et désactivez SMB 1.0 si possible. Vous ne devriez avoir rien à craindre si vous faites cela.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.