มีการโพสต์แจ้งเตือนจาก Microsoft Tech Community ที่ออกมาเตือนให้ผู้ดูแลเซฺร์ฟเวอร์ Exchange เร่งปิด SMBv1 เสียก่อนตกเป็นเหยื่อของมัลแวร์ TrickBot และ Emotet


Credit : microsoft

ข้อความในโพสต์กล่าวว่า “เพื่อป้องกัน Exchange ของท่านจากความเสี่ยงของมัลแวร์ใหม่ๆ เช่น Emotet, Trickbot หรือ WannaCry เราขอเตือนให้ปิด SMBv1 บนเซิร์ฟเวอร์ Exchange ซะ” สำหรับ Microsoft ได้พยายามเตือนหลายปีแล้วว่า SMBv1 นั้นไม่ปลอดภัยอย่างไร โดยอย่างน้อยๆ คือไม่มีการป้องกันด้านความมั่นคงปลอดภัยเหมือนเวอร์ชันใหม่แน่

สำหรับผู้ใช้งาน Windows 10 1709 ขึ้นไปและ Windows Server ในช่วงหลังที่ออกมาจากไม่มีการติดตั้ง SMBv1 มาแล้วแต่จะใช้เป็น SMBv3 แทน ดังนั้นความเสี่ยงจะตกอยู่กับผู้ที่ยังใช้งาน Windows รุ่นเก่าโดยสามารถตรวจสอบได้ดังนี้

  • Windows Server 2008 R2 สามารถใช้คำสั่ง ‘Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}’ หากค่า SMB1 Value เป็น 1 แสดงว่ามีการเปิดใช้งานอยู่ให้ใช้คำสั่งปิดว่า ‘Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” -Name SMB1 -Type DWORD -Value 0 –Force’

  • Windows Server 2012 สามารถใช้คำสั่ง ‘Get-SmbServerConfiguration | Select EnableSMB1Protocol’ หากค่า SMB1 Value เป็น True แสดงว่ามีการเปิดใช้งานอยู่ให้ใช้คำสั่งปิดว่า ‘Set-SmbServerConfiguration -EnableSMB1Protocol $false -force’

  • Windows Server 2012 R2 สามารถใช้คำสั่ง ‘(Get-WindowsFeature FS-SMB1).Installed Get-SmbServerConfiguration | Select EnableSMB1Protocol’ หากค่า SMB1 Value เป็น True แสดงว่ามีการเปิดใช้งานอยู่ให้ใช้คำสั่งปิดว่า ‘Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol Set-SmbServerConfiguration -EnableSMB1Protocol $false’

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/microsoft-urges-exchange-admins-to-disable-smbv1-to-block-malware/