原本今天一早想再去新竹一趟,但看臉書、K島、 LG的群組都在討論WanaCrypt0r 2.0,而且很明顯的不是使用者誤點連結或誤開檔案造成的病毒執行。後來一看,竟然是針對網路芳鄰的漏洞作最高權限的直接攻擊,那也就表示連上網也會被掃描測試入侵跟執行。現實真的比電影的駭客還誇張!
公司還有幾台xp甚至Win 2000, server還是2003版的。完蛋,這些老舊系統,微軟早已經停止安全性更新的服務。而且這些電腦還有一個特徵,就是只要一開windows update,電腦幾乎像是當機一樣,CPU 100%都是在跑更新,跑的時間又幾乎是半天以上,讓員工根本無法作事。
而且我一直想關掉公司的網路芳鄰功能,想改成網頁版上傳,但卡在女性的反對太強。沒法關網路芳鄰功能,所以這漏洞對於我公司是一大威脅!(經過這次我真的有理由可以換新的NAS跟限制只能使用網頁上傳功能了!)
所以一早五點起床,就開始遠端連線到公司的Fortigate防火牆跟ascenlink作雙重的防火牆設定。並直接先關掉file server的windows分享功能。整個台北公司就只有我進入系統上網。
Router? 我系統太新,Router系統介面進都進不了,而且主要功能都被Fortigate防火牆跟ascenlink搶走了,其只有單純的gateway功能。如果能進的話,445 port直接關掉就好了!
約早上七點時,確定是針對SMBv1網路芳鄰的功能在攻擊,約八點確認攻擊系統漏洞是 445 port, 但還不知道是TCP還是UDP,沒關係,兩個防火牆全封! 我就連139 port也封!
並發出郵件通知大家要小心,下午微軟宣布Win XP SP3 跟Server 2003的修正檔,我也緊急發信通知星期一早上暫停上網,需等到確認都有安裝過修正檔後,才一併開啟上網功能。
但內部網路如果有開啟網路芳鄰,且電腦又沒有更新SMBv1漏洞,那還是會透過網路芳鄰傳送病毒的。 所以只好先斷掉所有對外連線,並一台一台安裝好更新之後,再讓員工上網。
微軟提供的XP、2003、VISTA、win 8的KB4012598修正檔連結
星期一一早有得忙的!
結果單單一天5/13而已,就記錄到下表超多的TCP@445攻擊! 老媽,母親節我沒回家去是對的! 不然我可能只能做到這個月。
所以其實只要ISP設定有發給TCP@445的封包全部攔截,這病毒至少可以大範圍的控制下來。
這漏洞是微軟搞的,攻擊工具是美國政府開發的,全世界應該將所有損失帳單寄到美國微軟要求賠款!
