¿Cuál es la implicación del parche MS17-010 y la desactivación SMBv1 relacionada con WannaCry? ¿Elimina el malware o simplemente evita que se propague?

Busqué en Google mucho sobre esto pero no pude encontrar la respuesta.

Me gustaría entender si parchear Windows con la actualización MS17-010 evitará que el malware WannaCry se instale / ejecute o simplemente evite que el malware (una vez instalado en una determinada PC y, por lo tanto, lo infecte) se propague a través de la intranet.

Además, si el parche MS17-010 está instalado correctamente, ¿hay algún beneficio al deshabilitar SMBv1 también? ¿O el parche MS17-010 en sí mismo puede considerarse suficiente?

Última pregunta / duda: antes de deshabilitar SMBv1, ¿cómo asegurarse de que esto no afectará el rendimiento / confiabilidad de la red?

Primero, un pequeño prefacio. El parche MS17-010 se incluye en todos los paquetes acumulativos de actualizaciones para Windows 7, 8.1 y 10 a partir de marzo. Así que si usted tiene el abril o mayo (o posterior) de resumen de instalación de las actualizaciones, no es necesario (y no habrán instalado) el KB-número específico relacionado con el parche MS17-010.

Sin embargo, si ha elegido instalar solo actualizaciones solo de seguridad , entonces deberá instalar específicamente la de marzo. A menos que haya elegido específicamente este camino, debería estar en los rollups. La apuesta más segura es dejar que Windows actualice todo hasta que diga que está actualizado.

^{Este es el caso de todos los parches de seguridad ahora, no solo este.}

evitará que el malware WannaCry se instale / ejecute

El parche MS17-010 no hace nada para detener el ransomware. Si descargas el exe y lo ejecutas, seguirá haciendo lo suyo y encriptará tus archivos. Por ejemplo, el vector de infección primario en la mayoría de las redes fue a través de archivos adjuntos de correo electrónico, IIRC. Esto no es nada nuevo para el ransomware.

Sin embargo, la parte de gusanos del programa es lo que facilita su propagación a través de las redes. Esto ataca la implementación SMBv1 sobre el destino de la computadora, es decir, el equipo que el gusano se está extendiendo a , no desde .. Por lo tanto, el parche MS17-010 deben instalarse cada máquina Windows en la red.

En general, NAT o firewalls en el borde de la red evitan la propagación a través de Internet.

solo evite que el malware (una vez instalado en una determinada PC y, por lo tanto, lo infecte) se propague a través de la intranet

El parche no hace nada para ayudar a una computadora ya infectada. Solo es útil si está instalado en las otras computadoras no infectadas en la red.

¿Hay algún beneficio de deshabilitar SMBv1 también?

No directamente para WannaCry / EternalBlue, ya que el parche MS17-010 soluciona este agujero en particular. Sin embargo, la defensa en profundidad sugeriría deshabilitar SMBv1 de todos modos, a menos que lo necesite, ya que reduce las superficies de ataque y minimiza el daño si hubiera otro error SMBv1 actualmente desconocido. Dado que Vista y las versiones más recientes admiten SMBv2, no debería haber necesidad de mantener SMBv1 habilitado a menos que necesite compartir archivos con XP. Espero que ese no sea el caso.

antes de deshabilitar SMBv1, ¿cómo asegurarse de que esto no afectará el rendimiento / confiabilidad de la red?

El efecto más obvio es que ya no podrá utilizar el uso compartido de archivos de Windows con ningún sistema XP.

Según la gravedad del enlace publicado y los comentarios allí, esto podría evitar que su computadora aparezca o use la lista de "red". Todavía puede acceder a ellos escribiendo \\computernamey verlos en la lista usando grupos en el hogar (o Active Directory en un entorno empresarial).

La otra excepción que se menciona en esa publicación de blog es que las fotocopiadoras / escáneres de red más antiguas que tienen la función "escanear para compartir" podrían no ser compatibles con un protocolo SMB moderno.