CVE-2017-0143

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Server Message Block 1.0 (SMBv1) contains an unspecified vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в протоколе SMBv1 позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Для эксплуатации атакующему достаточно отправить специально сформированный пакет на порт 445/TCP. Это критическая уязвимость, известная как часть эксплойтов EternalBlue.

Как исправить

Установите обновления безопасности от Microsoft, устраняющие уязвимость.

Для Windows: * Windows 7 и Windows Server 2008 R2: Установите обновление MS17-010, в частности KB4012212. * Windows 8.1 и Windows Server 2012 R2: Установите обновление MS17-010, в частности KB4012213. * Windows 10 и Windows Server 2016: Установите накопительное обновление от марта 2017 года (KB4012606) или более позднее.

Проверка установки патча: 1. Откройте PowerShell от имени администратора. 2. Выполните команду для проверки установленного обновления (например, для KB4012212): powershell Get-HotFix -Id KB4012212 Если обновление установлено, команда вернет информацию о нем. Если нет — ошибку.

Окончательное решение (рекомендуется): Полностью отключите и удалите поддержку устаревшего и небезопасного протокола SMBv1.

# Отключение SMBv1 на уровне компонента
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

После выполнения перезагрузите сервер.

Временное решение

Если немедленная установка обновлений невозможна, примите следующие меры для снижения риска:

  1. Блокировка на сетевом уровне:

    • Настройте межсетевой экран (брандмауэр) на блокировку входящего и исходящего трафика на порт 445/TCP (и 139/TCP) с недоверенных сетей (особенно из интернета).

  2. Отключение SMBv1 через реестр (Windows):

    • Создайте или измените следующий параметр реестра: Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Имя: SMB1 Тип: DWORD Значение: 0
    • Перезагрузите сервер для применения изменений.

  3. Изоляция уязвимых систем:

    • Поместите серверы, для которых нельзя отключить SMBv1 (например, из-за устаревшего ПО), в изолированный сегмент сети (VLAN) с строгим контролем доступа.

Важно: Временные решения лишь снижают поверхность атаки. Установка обновлений безопасности является обязательной мерой.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей