CVE-2017-0144

Microsoft SMBv1

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-10

Официальное описание

The SMBv1 server in multiple Microsoft Windows versions allows remote attackers to execute arbitrary code via crafted packets.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в протоколе SMBv1 (Server Message Block version 1) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Для эксплуатации атакующему достаточно отправить специально сформированные сетевые пакеты на порты, где работает служба SMB (обычно TCP 445). Эта уязвимость является критической и была использована в глобальных атаках вымогателей WannaCry и Petya.

Как исправить

Основное решение — установить обновление безопасности от Microsoft, которое устраняет уязвимость.

  1. Определите свою версию Windows (например, через winver).
  2. Установите соответствующий патч (KB):
    • Windows 7, Windows Server 2008 R2: MS17-010 (KB4012212)
    • Windows 8.1, Windows Server 2012 R2: MS17-010 (KB4012213)
    • Windows 10, Windows Server 2016: MS17-010 (KB4012606)
  3. Способ установки:
    • Через Центр обновления Windows (рекомендуется).
    • Вручную скачав пакет с официального каталога Microsoft Update Catalog по номеру KB.

После установки обновлений перезагрузите систему.

Временное решение

Если немедленная установка патча невозможна, выполните следующие шаги для снижения риска:

  1. Отключите протокол SMBv1 (это предпочтительное временное решение):

    • Через PowerShell (от имени администратора): powershell Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    • Через реестр (для всех версий Windows): Создайте или измените DWORD-параметр: Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Имя: SMB1 Значение: 0 После изменения перезапустите службу Server или перезагрузите компьютер.

  2. Заблокируйте входящие подключения к порту SMB (TCP 445) на периметровом брандмауэре и на хостах:

    • Брандмауэр Windows (команда в PowerShell от администратора): powershell New-NetFirewallRule -DisplayName "Block SMB445" -Direction Inbound -LocalPort 445 -Protocol TCP -Action Block
    • Убедитесь, что порт 445 не проброшен из интернета на маршрутизаторах/NAT.

  3. Включите фильтрацию на сетевом оборудовании:

    • Настройте правила на межсетевом экране (WAF, NGFW) для блокировки трафика, связанного с эксплойтами EternalBlue (например, по сигнатурам).

Внимание: Отключение SMBv1 может повлиять на работу устаревших устройств и приложений (например, некоторые сетевые принтеры, старые версии Windows). Протестируйте изменения в своей среде. Установка официального патча MS17-010 остается обязательным окончательным решением.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей