SMB-Sicherheitslücke via MPR/SPR Skript ausschalten

Moderator: MVogt

SMB-Sicherheitslücke via MPR/SPR Skript ausschalten

Beitragvon Theo_Gottwald » 01. Aug 2017, 11:21

Wie Microsoft bekanntgab werden Sie die Lücke die zur Verbreitung von Ransomeware verwendet wurde, nicht mehr patchen, sondern irgendwann das Element aus den neueren Windows Systemen entfernen.
Details dazu hier:
Microsoft won’t patch 20 yr old SMBv1 vulnerability (you should just turn the service off)

Wer nicht warten will, sondern gleich handeln will, der kann den MPR nehmen.
Man kann mit einem Skript die betroffene Komponente automatisch deaktivieren, damit ist das Problem vom Tisch.

Dieses Skript führt die Deaktivierung so aus, wie man das auch "von Hand" machen würde.


################################################
Hier das entsprechende Skript für den MPR.
################################################

Code: Alles auswählen
KRM\2
CPL\Software

STW\cabinetwclass\programme und features|w303
SWP\0,0|823,806

'STW\cabinetwclass\programme und features|w66
GCW\0\3\directuihwnd\*|w66
AFO\30\Windows-Features ak&&n oder deaktivieren\notext\Windows-Features ak&&n oder deaktivieren\11\\'*3/0/0/0/3\'159,30\27,73
ADA\

' Programme und Features schliessen
GCT\
CLW\1

'
STW\nativehwndhost\windows-features|w1338
SWP\0,0

' Zur CIFS / SMB scrollen und unchecken
STW\nativehwndhost\windows-features|w228
GCW\0\3\systreeview32\*|w228
TVI\Unterstützung für die SMB 1.0/CIFS-Dateifreigabe&&
GSB\DoIt
GSB\DoIt

STW\nativehwndhost\windows-features|w7443
GCW\0\3\button\ok|w7443
BCS\

@

:DoIt
AOP\
VAR\$$STA=$av04$
VAR\$$SUC=0
IVV\$$STA=3145744
   VAR\$$SUC=1
EVV\
IVV\$$STA=3145750
   VAR\$$SUC=1
EVV\
IVV\$$SUC=1
   VAR\$$HOE=$it$
   VAR\$$LIN=$il$
   MPO\$$LIN,$$HOE
   CAL\$$HHA=$ih$/1.5
   CAL\$$HHD=$ih$*1.5
   MCP\-$$HHD,$$HHA
   MEL\
EVV\
RET\


Details:
Microsoft won’t patch 20 yr old SMBv1 vulnerability (you should just turn the service off)
https://www.onmsft.com/news/microsoft-w ... ervice-off

Following the recent WannaCry and Petya ransomware attacks, Microsoft recommended all Windows 10 users to remove the unused but vulnerable SMBv1 file sharing protocol from their PCs. This is because both variants of the ransomware actually used the same SMBv1 exploit to replicate through network systems, even though it seems that Petya mostly affected Windows PCs in Ukraine.

Anyway, if you didn’t turn off the protocol on the PC already, you really should: Not only because new WannaCry/Petya variants could once again use the same vulnerability again to encrypt your files, but because another 20-year-old flaw has just been unveiled during the recent DEF CON hacker conference (via Security Affairs).


################################################
Hier nun das entsprechende Skript für den SPR.
################################################
Code: Alles auswählen
MRK.2
CPL.Software

STW.Hwct|303|cabinetwclass|programme und features
SWP.0,0|823,806|T

'STW\cabinetwclass\programme und features|w66
SCW.wcid|66|directuihwnd|0|3
AGR.30!MOS.|Windows-Features

' Programme und Features schliessen
GCT.
CLW.

STW.Hwct|1338|nativehwndhost|windows-features
SWP.0,0|T
' Warten bis alles geladen ist
PAU.2
GSB.DoIt
GSB.DoIt
PAU.0.5
STW.Hwct|7443|nativehwndhost|windows-features
SCW.wctid|7443|button|ok|0|3
BCS.

ENR.

:DoIt
' Zur CIFS / SMB scrollen und unchecken
STW.Hwct|228|nativehwndhost|windows-features
SCW.wcid|228|systreeview32|0|3
SKP.uu
PAU.0.4
AGR.44|Unterstützung für die SMB 1.0/CIFS-Dateifreigabe|||24
VAN.$$HOE=#it#
VAN.$$LIN=#il#
VAN.$$HEI=#ih#
MPO.$$LIN,$$HOE
CAL.$$HHA=$$HEI/2
CAL.$$HHD=$$HEI*1.5
MMV.p|-$$HHD,$$HHA
GAI.s|$$STA
VTB.$$STA
GSS.-5|-5|$$STA|$$CHK
IVV.$$CHK=1 
  MLI.
EIF.
RET.
Benutzeravatar
Theo_Gottwald
 
Beiträge: 273
Registriert: 03. Okt 2009, 08:57
Wohnort: Herrenstr.11 * 76706 Dettenheim



Zurück zu Package Robot

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste