CVE-2017-0146

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

The SMBv1 server in Microsoft Windows allows remote attackers to perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в протоколе SMBv1 (Server Message Block version 1) в ОС Microsoft Windows. Злоумышленник может отправить специально созданный пакет на уязвимый сервер, что позволит ему выполнить произвольный код с правами системы. Это основа для червей, подобных WannaCry и EternalBlue.

Как исправить

Установите официальные обновления безопасности от Microsoft, устраняющие уязвимость.

  1. Для Windows 7, Windows Server 2008 R2 и более ранних версий:

    • Установите обновление MS17-010 от 14 марта 2017 года.
    • Конкретный номер пакета обновления (KB) зависит от вашей ОС и архитектуры. Например, для 64-разрядной Windows 7 это KB4012212.

  2. Для Windows 8.1, Windows Server 2012 R2 и более новых версий (включая Windows 10, Windows 11):

    • Убедитесь, что установлены все последние накопительные обновления. Уязвимость была устранена в мартовских обновлениях 2017 года.
    • Рекомендуемое действие: Включите автоматическое обновление Windows или вручную проверьте и установите все доступные обновления через Центр обновления Windows.

  3. Проверка установки патча (PowerShell от имени Администратора): bash Get-HotFix -Id KB4012212, KB4012215, KB4012216, KB4012217, KB4012218, KB4012219, KB4012606, KB4013198, KB4013429, KB4015217, KB4015438, KB4015549, KB4015550, KB4015551, KB4019264, KB4019472, KB4019215, KB4019216, KB4019217, KB4019218, KB4019219, KB4019220, KB4019221, KB4019222, KB4019223, KB4019224, KB4019225, KB4019226, KB4019263, KB4019264 Если патч установлен, команда вернет информацию о нем. Если нет — результат будет пустым.

Временное решение

Если немедленная установка обновлений невозможна, выполните следующие шаги для снижения риска:

  1. Отключите протокол SMBv1 (это рекомендуется сделать в любом случае).

    • Через PowerShell (Администратор): bash Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
    • Через реестр (для всех версий Windows): Создайте или измените DWORD-параметр: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Имя: SMB1 Значение: 0 Перезагрузите сервер.

  2. Заблокируйте входящий трафик на порты SMB на периметровом брандмауэре и брандмауэре хоста (Windows Defender Firewall).

    • Блокируйте TCP-порты 139 и 445 для входящих соединений из недоверенных сетей (особенно из интернета).

  3. Настройте сетевую сегментацию. Ограничьте доступ к серверам, на которых должен быть включен SMB, только с определенных доверенных IP-адресов или сегментов сети.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей