junioradm 1 Geschrieben 15. Mai 2017 Melden Teilen Geschrieben 15. Mai 2017 Hallo Community, es geht um WannaCry als Ransomware. Wer kann mir sagen, welche KB-Dateien (Windows Updates) die Lücken schließen?Der Etherblue-Exploit betrifft auch Windows 7-Systeme. Wie können wir die Protokolle für SMB (Server Message Block) und NBT (Netbios over TCP/ IP) absichern? Hat jemand von euch schon Gegenmaßnahmen ergriffen? Wie handelt ihr das? Die Systeme, die gepatcht werden müssen, sind folgende: Win 7 (Prof & Enterprise) Server 2003 (ja ich weiß^^), 2008 R2 & 2012 R2 Danke, VG Zitieren Link zu diesem Kommentar
testperson 1.538 Geschrieben 15. Mai 2017 Melden Teilen Geschrieben 15. Mai 2017 Hi, suchst du https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ und https://technet.microsoft.com/en-us/library/security/ms17-010.aspx? Gruß Jan Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 15. Mai 2017 Autor Melden Teilen Geschrieben 15. Mai 2017 Hi, suchst du https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ und https://technet.microsoft.com/en-us/library/security/ms17-010.aspx? Gruß Jan Hallo, diese Liste habe ich nun auch gefunden. Vielen Dank! Leider finde ich diese besagten KB-Dateien nicht unter 'installierte Updates' auf den verschiedenen Distributionen. Wie kann ich nun genau prüfen, ob diese KB-Dateien auf dem System schon installiert sind bzw. über WSUS? Vielen Dank im Voraus. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 15. Mai 2017 Melden Teilen Geschrieben 15. Mai 2017 Du kriegst IMO die Updates nur über den Update Catalog von MSFT oder downloadest manuell. Der Update Catalog bietet sich für den Import in den WSUS an. Zitieren Link zu diesem Kommentar
mcdaniels 22 Geschrieben 15. Mai 2017 Melden Teilen Geschrieben 15. Mai 2017 (bearbeitet) Hallo zusammen, im Updatekatalog findet man die Dateien aber nicht bzw. zumindest nicht für das Creators Update. Die Liste der notwendigen Patches sieht folgendermaßen aus: Windows Vista with Service Pack 2 x86 KB4012598Windows Vista with Service Pack 2 x64 KB4012598Windows Server 2008 with Service Pack 2 x86 KB4012598Windows Server 2008 with Service Pack 2 x64 KB401259Windows 7 with Service Pack 1 x86 KB4012212 or KB4012215Windows 7 with Service Pack 1 x64 KB4012212 or KB4012215Windows Server 2008 R2 with Service Pack 1 KB4012212 or KB4012215Windows 8.1 x86 KB4012213 or KB4012216Windows 8.1 x64 KB4012213 or KB4012216Windows Server 2012 KB4012214 or KB4012217Windows Server 2012 R2 KB4012213 or KB4012216Windows 10 x86 KB4012606Windows 10 x64 KB4012606Windows 10 version 1511 x86 KB4013198Windows 10 version 1511 x64 KB4013198Windows 10 version 1607 x86 KB4013429Windows 10 version 1607 x64 KB4013429Windows Server 2016 KB4013429 Ich persönlich finde das total verwirrend, denn einerseits liest man immer wieder dass Win10 nicht betroffen ist, andererseits ist Win 10 sehr wohl aufgeführt. Heißt das dass nur das Creators Update sicher ist und alle vorhergehenden Versionen diese Lücke aufweisen? bearbeitet 15. Mai 2017 von mcdaniels Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 15. Mai 2017 Melden Teilen Geschrieben 15. Mai 2017 (bearbeitet) Da die Updates aber kumulativ sind, gehen auch einfach die aktuellen Rollups. Denn das was du da oben angibst, ist eben das Cumulative Update vom März. Da wir inzwischen Mai haben, gehen also bspw. für Windows 10 1607 auch: https://support.microsoft.com/de-de/help/4015217/windows-10-update-kb4015217 oder https://support.microsoft.com/de-de/help/4019472/windows-10-update-kb4019472 Eigentlich in einem WSUS relativ leicht alles zu finden. Müßte man eben mal reinschauen. ;) Bye Norbert PS: und nein ich habe keine Updates manuell importiert, sondern die waren alle schon da. Auch die für 2008R2 usw. PPS: Ich gehe davon aus, dass die Creators Upgrade Version diesen Hotfix schon drin hat und deswegen nicht betroffen sein sollte. Leider sieht man aber das eben nicht bei MS' Auflistung der Inhalte. Einer der Kritikpunkte seit Windows 10, dass eben die einzelnen KB Artikel nicht mehr zugeordnet sind. https://support.microsoft.com/de-de/help/4019472/windows-10-update-kb4019472 bearbeitet 15. Mai 2017 von NorbertFe Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 PS: und nein ich habe keine Updates manuell importiert, sondern die waren alle schon da. Auch die für 2008R2 usw. Auch die für XP, W8 und 2003? :) Zitieren Link zu diesem Kommentar
mcdaniels 22 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Hallo Norbert, danke für deine Antwort. D.h. de facto aber, dass alle Versionen von 10 (vor dem Creatorsupdate) anfällig waren, oder sehe ich das falsch? Danke! Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Moin, wie Norbert schon sagt, kann man das leider den Mitteilungen nicht eindeutig entnehmen. In den Blog-Aussagen von Microsoft zu dem Thema heißt es, dass Windows 10 generell nicht betroffen sei. Selbst wenn die Ausgaben vor dem Creators Update aber betroffen gewesen wären, darf man begründet davon ausgehen, dass das Creators Update, das im März fertiggestellt wurde, die März-Updates bereits enthält. Alles andere müsste man schon Microsoft fragen, nicht uns. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Die Security Seite zum exploit bei ms listed alle windows 10 bis 1607 als affected vom smb 1.0 bug. Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Moin, vermutlich wird die Unklarheit auch noch dadurch verstärkt, dass das Ding sich so schnell verbreitet hat. Dadurch entpuppen sich manche Aussagen dann als Schnellschüsse, die so nicht zutreffen. Gestern Abend etwa erhielt ich von einem unserer Security-Herstellerpartner eine Marketingmail zum Thema, die die Ursache bei "bekannten Lücken in SMBv2" verortete ... Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Hi Nils, korrekt. Solche Information, dass eigentlich SMB2.0 für die Schwachstelle initial genutzt wird, habe ich auch gefunden. Aber der erwähnte Hotfix von MS fixt laut deren Webseite 4 oder 5 Schwachstellen allein im SMB 1.0 Server. Wahrscheinlich braucht man einmal ein "lokales" Einfallstor und der Rest geht dann mittels Ausnutzung eines Remote Execution Exploits. (Reine Mutmaßung meinerseits). Falls jemand ein genaues Infomaterial finden sollte: Immer her damit. :) Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Moin, ich glaube, das mit SMB 2.0 ist ein Missverständnis. Die Verbreitung im Netzwerk geht, soweit ich es verstanden habe, über Lücken in SMB 1.0. Deshalb hacken ja alle so darauf rum, dass die Verbreitung vor allem auf Nachlässigkeiten zurückzuführen ist. Über den initialen Einfallsweg hat man wohl noch keine Klarheit und vermutet, dass es klassisch E-Mail ist. Gruß, Nils Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Einfach Rechner aktuell durchpatchen, fertig. Ja, es ist wirklich so einfach. Sollte man doch eigentlich sowieso machen?! Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 16. Mai 2017 Melden Teilen Geschrieben 16. Mai 2017 Auch die für XP, W8 und 2003? :) Sowas hab ich nicht :p Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.