Windows: Kod zatrzymania 0x50 srv.sys spowodowany przez exploit EternalBlue

Firma Microsoft wydała biuletyn zabezpieczeń dotyczący protokołu SMBv1.0. Najpoważniejsza z luk w zabezpieczeniach może umożliwić zdalne wykonanie kodu, jeśli osoba atakująca wyśle specjalnie spreparowane wiadomości do serwera

Microsoft Server Message Block 1.0 (SMBv1).Ten problem można zidentyfikować, analizując stos na zrzucie pamięci i znajdując następujące wiersze:
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

Dotyczy systemów:
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012 Windows Server 2012
R2
Windows Server 2016
Windows 7
Windows 8
Windows 8.1
Windows 10
 

.

Firma Microsoft opublikowała wpis na blogu dotyczący protokołu SMB1, wyjaśniając, że jest on przestarzały i nie powinien być używany w najnowszych wersjach systemu operacyjnego.

Ponieważ ten problem jest spowodowany przez exploit, konieczne jest uruchomienie programu antywirusowego w systemie, którego dotyczy luka.

Rozwiązania

W tej sytuacji pomocne mogą być następujące obejścia:

• Wyłącz SMBv1

  Dla klientów korzystających z systemu Windows Vista lub nowszego

  Patrz artykuł 2696547 bazy wiedzy Microsoft Knowledge Base.

  Alternatywna metoda dla klientów korzystających z systemu Windows 8.1 lub Windows Server 2012 R2 lub nowszego

  W przypadku klienckich systemów operacyjnych:

  1. Otwórz aplet Panel sterowania, kliknij pozycję Programy, a następnie kliknij polecenie Włącz lub wyłącz funkcje systemu Windows.
  2. W oknie Funkcje systemu Windows wyczyść pole wyboru Obsługa udostępniania plików SMB1.0/CIFS, a następnie kliknij przycisk OK, aby zamknąć okno.
  3. Uruchom ponownie system.
      

  W przypadku systemów operacyjnych serwerów:

  1. Otwórz Menedżera serwera, a następnie kliknij menu Zarządzaj i wybierz polecenie Usuń role i funkcje.
  2. W oknie Funkcje wyczyść pole wyboru Obsługa udostępniania plików SMB1.0/CIFS, a następnie kliknij przycisk OK, aby zamknąć okno.
  3. Uruchom ponownie system.
      

  Wpływ obejścia problemu. Protokół SMBv1 jest wyłączony w systemie docelowym.
  Protokół SMBv1.0 oferuje obsługę starszych systemów (Windows XP, Windows Vista, Windows 2000, Windows 2003, Windows 2003 R2).

  Jak cofnąć obejście problemu. Wykonaj kroki obejścia problemu i zaznacz pole wyboru Obsługa udostępniania plików SMB1.0/CIFS, aby przywrócić funkcję obsługi udostępniania plików SMB1.0/CIFS do stanu aktywnego.