CVE-2017-0147

Microsoft SMBv1 server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-24

Официальное описание

The SMBv1 server in Microsoft Windows allows remote attackers to obtain sensitive information from process memory via a crafted packet.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в протоколе SMBv1 позволяет удаленному злоумышленнику отправлять специально сформированные пакеты к серверу. В результате атаки из памяти процесса сервера может быть раскрыта конфиденциальная информация (утечка данных), что является этапом для дальнейшей эксплуатации системы.

Как исправить

Установите официальные обновления безопасности от Microsoft, устраняющие данную уязвимость.

  • Для Windows 7 и Windows Server 2008 R2: Установите обновление KB4012212 (мартовский набор обновлений 2017 г.) или более поздние ежемесячные накопительные обновления.
  • Для Windows 8.1 и Windows Server 2012 R2: Установите обновление KB4012213 (мартовский набор обновлений 2017 г.) или более поздние.
  • Для Windows 10 и Windows Server 2016: Установите обновление KB4012606 или более поздние.

Рекомендуемое действие: Полностью отключите устаревший протокол SMBv1 в системе, если он не требуется для совместимости со старым оборудованием.

  1. Отключение через PowerShell (от администратора): powershell Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
  2. Проверка состояния протоколов SMB: powershell Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol В выводе EnableSMB1Protocol должно быть False.

Временное решение

Если немедленная установка обновлений невозможна, выполните следующие шаги для снижения риска:

  1. Блокировка на сетевом уровне:

    • Настройте межсетевой экран (брандмауэр) на блокировку входящего трафика на порты SMB: TCP 139, TCP 445, UDP 137, UDP 138.
    • Ограничьте доступ к этим портам только с доверенных IP-адресов (например, административных подсетей).

  2. Отключение службы SMBv1 через реестр (Windows):

    • Внимание! Перед редактированием реестра создайте его резервную копию.
    • Откройте regedit и перейдите к разделу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • Создайте или измените параметр DWORD (32-bit) с именем SMB1.
    • Установите его значение равным 0.
    • Перезагрузите сервер.

  3. Сегментация сети: Изолируйте серверы, на которых требуется использование SMB, в отдельный VLAN, ограничив доступ к ним из интернета и непроизводственных сегментов сети.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей