none
Windows Update + WannaCry RRS feed

  • Pergunta

  • Bom dia à todos.

    Gostaria de expor algumas dúvidas, em especial sobre o ataque do WannaCry ocorrido nesta sexta, 12/05.

    De acordo com uma nota da Microsoft, para estar protegido basta deixar o Windows Update funcionando, e portanto o Windows atualizado. Beleza, o meu computador informa que está atualizado.

    Meu computador está então protegido? A resposta é: não sei, pois há controvérsias.

    No boletim que descreve a vulnerabilidade (esta) estão listados os KB que tratam o problema. No meu caso, o Windows 10 1607 tem o update KB4013429. Este update não está instalado no meu sistema. E se tento instalar ele manualmente, baixando o pacote pelo Catálogo Do Windows Update, me é exibido um erro afirmando que a atualização não pôde ser instalada.

    Presto suporte a algumas pequenas empresas e reparei que isto tem acontecido com outros sistemas também, como Windows 8.1, Server 2012 R2, Sever 2008, entre outros. Acontece a mesma coisa: o update não está instalado, e quando tenta-se instalar, não instala. No caso do 2012 R2, por exemplo, alguns dos updates listados no boletim instalam, outros não. E aparecem mais updates após instalar os que aceitaram ser instalados!

    Como então está atualizado, se não tem os updates listados no boletim, e ainda por cima aceita instalar manualmente??

    Como então posso ter certeza que estou protegido desta ameaça em si, bem como ter 100% de certeza de que está tudo atualizado??

    Uma outra dúvida: o boletim não trata o Windows 10 1703 (a "Edição para Criadores"). Esta versão não é afetada?

    Aguardo informações. Grato desde já,

    Romulo.



    -- Romulo


    segunda-feira, 15 de maio de 2017 14:48

Respostas

Todas as Respostas

  • Bom dia,

    Uma "solução" adicional para se proteger do WannaCry é desativar o SMBv1, é possível fazer isso pelo PowerShell, utilizando o comando:

     

    Abra o PowerShell como Administrador e utilize:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force 

     

    Ferramenta de remoção de software mal intencionado(MSRT):

    https://www.microsoft.com/pt-br/download/malicious-software-removal-tool-details.aspx

     

    Lembrando que o ideal é apenas fazer a atualização de março, caso Windows 10 ir para a 1703, e nos sistemas legados seguir:

    https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

     

    Para explicações sobre:

    http://www.msn.com/pt-br/noticias/microsoft/orienta%c3%a7%c3%a3o-ao-cliente-sobre-ataques-do-wannacrypt/ar-BBB5Tcn?li=AAggV10 


    Ivo Dias
    Microsoft Community MCC, MVA IT PRO
    Lembre-se de Marcar como Resposta as postagens que resolveram o seu problema.

    terça-feira, 16 de maio de 2017 12:44
  • Romulo, as atualizações que protegem os sistemas operacionais do Wanna Cry, foram divulgadas em Março e ficaram disponíveis no Windows Update e Wsus em Abril(2a Terça-Feira do mês).

    Logo se o seu WSUS estiver operacional e atualizado, além das atualizações aprovadas você não tem com o que se preocupar.

    Por ser um incidente crítico a Microsoft lançou Patchs de correção até para sistemas que não são mais suportados como Windows XP e Windows Server 2003. Para tanto, você pode baixar os pacotes individuais e aplicar nesses sistemas.

    O KB para procurar no WSUS é o 4012598, procure e veja se ele foi aprovado e instalado.

    O Link para download indivudual dos Patches de correção inclusive para sistemas sem suporte é:

    http://www.catalog.update.microsoft.com/search.aspx?q=4012598

    Atenciosamente,

    Fabiano

    terça-feira, 16 de maio de 2017 13:26
  • Obrigado pela resposta. Nenhum dos meus clientes utiliza o protocolo citado, portanto neste ponto não há risco.

    O que ainda não entendi é porque os KB citados no link que postei não vieram via Windows Update normalmente. Como falei, principalmente no 2012 R2, que são 2 arquivos no total, um deles afirma que não pode ser aplicado, e o outro se instala normalmente, ou seja: não estava instalado. E realmente não estava, pois procurei pelos mesmos em "Atualizações instaladas" e não houve resultado.

    Com isto, me fica a dúvida se estou protegido ou não, e também questiono o porque deste update não se instalar.


    -- Romulo

    terça-feira, 16 de maio de 2017 13:56
  • Obrigado, Fabiano.

    Mas ainda estou em dúvida, pois como falei, todas as estações tem o Windows Update devidamente configurado para baixar e instalar atualizações automaticamente, mas mesmo assim, as atualizações citadas no link não estavam presentes.

    Ainda continuo com minhas dúvidas, embora nada de anormal tenha acontecido em nenhum dos meus clientes.


    -- Romulo

    terça-feira, 16 de maio de 2017 13:58
  • Romulo,

    Em teoria, se suas maquinas estiverem no Windows 10 com a versão 1703 e você não utiliza o protocolo citado, vai estar seguro, uma vez que a atualização de segurança veio antes dessa versão do Windows e a ameaça utiliza uma falha no protocolo.

    Você também pode falar diretamente com a Microsoft sobre o assunto:

    https://support.microsoft.com/pt-br/gp/contactus81?Audience=Commercial&wa=wsignin1.0


    Ivo Dias
    Microsoft Community MCC, MVA IT PRO
    Lembre-se de Marcar como Resposta as postagens que resolveram o seu problema.

    terça-feira, 16 de maio de 2017 17:27
  • Obrigado, Ivo.

    Nem todos os equipamentos dos clientes tem a última versão do Windows 10 (a Criadores), mas com certeza não utilizam o protocolo SMB.

    Todavia, minha dúvida ainda persiste:

    Se todas computadores estão atualizados, porque os updates referentes a esta falha não aparecem em "atualizações instaladas", e também aceitam ser instaladas manualmente??


    -- Romulo

    terça-feira, 16 de maio de 2017 17:59
  • Existe uma chance de ser o próprio Windows Update com algum BUG, você pode tentar redefinir:

    https://gallery.technet.microsoft.com/Redefinir-Windows-Update-8b70902e

    Mas em teoria, se instalou os Updates mais recentes vai ficar seguro.

    Realmente sobre a sua dúvida especificamente não consigo lhe passar, talvez o suporte direto consiga, já que eles podem analisar Logs e afins.


    Ivo Dias
    Microsoft Community MCC, MVA IT PRO
    Lembre-se de Marcar como Resposta as postagens que resolveram o seu problema.

    terça-feira, 16 de maio de 2017 18:02
  • Romulo,

    alguns KBs podem não instalar pelo fato de você ter instalado um mais novo e que já inclui a atualização crítica.

    ideal verificar no catalogo a seguir:

    [‎16/‎05/‎2017 15:05] Everton Cristo (Wipro Do Brasil Tecnologia Ltd):

    https://www.catalog.update.microsoft.com/home.aspx

     


    Marco Libretti – Achou útil a postagem? Marque e ajude a comunidade.

    terça-feira, 16 de maio de 2017 18:09
  • Ivo,

    não creio ser bug nos computadores, a não ser que seja um bug generalizado no Windows Update em si, pois esta situação aconteceu em vários computadores com diferentes versões do Windows, incluso Windows 7, Windows 8.1, Windows Server 2012 R2. Não percebi esta anomalia no Windows 10 (nenhuma das builds) nem no Server 2008.

    O problema é justamente este: na teoria está tudo ok, mas...

    O suporte direto não pôde ajudar, somente me passou um link com instruções específicas sobre o WannaCry e mais nada.

    Ainda estou procurando algo sobre isto em outros sites, mas até agora nada...


    -- Romulo

    terça-feira, 16 de maio de 2017 18:35
  • Boa tarde, Marco.

    Eu baixei as atualizações foi neste link mesmo, pelo Catálogo.

    Vamos pegar o KB4012213 para o Server 2012 R2, por exemplo, que é o que eu me lembro mais. Ele não é substituído por nenhum KB anterior, conforme pode ser visto nos detalhes do mesmo. A situação em comum é que em nenhum dos servidores que verifiquei (uma meia dúzia de 2012 R2) este KB estava listado como instalado, e mesmo assim não se instalou em alguns servidores, embora tenha sido instalado em outros.

    Estranho, não?


    -- Romulo

    terça-feira, 16 de maio de 2017 18:41
  • Novidades, pessoal.

    Encontrei esta ferramenta da TrendMicro que verifica se a vulnerabilidade ainda existe:

    http://solutionfile.trendmicro.com/SolutionFile/EN-1117391/supportcustomizedpackage-ms17-010-chk.exe

    De quebra, ela pode desabilitar o protocolo SMB, alvo do ataque.

    Em todos os servidores que trabalhei, detectou os KB instalados normalmente, mas como falei, eu os instalei manualmente.

    As dúvidas persistem, mas pelo menos podemos verificar a vulnerabilidade em específico.

    Abraço!


    -- Romulo

    sexta-feira, 19 de maio de 2017 13:49
  • Novidades, pessoal.

    Encontrei esta ferramenta da TrendMicro que verifica se a vulnerabilidade ainda existe:

    http://solutionfile.trendmicro.com/SolutionFile/EN-1117391/supportcustomizedpackage-ms17-010-chk.exe

    De quebra, ela pode desabilitar o protocolo SMB, alvo do ataque.

    Em todos os servidores que trabalhei, detectou os KB instalados normalmente, mas como falei, eu os instalei manualmente.

    As dúvidas persistem, mas pelo menos podemos verificar a vulnerabilidade em específico.

    Abraço!


    -- Romulo

    sexta-feira, 19 de maio de 2017 13:51
  • Boa tarde,

    Essa matéria pode ajudar caso alguém já tenha tido problemas com o virus:

    https://tecnoblog.net/215045/descriptografar-recuperar-arquivos-ransomware-wannacry/


    Ivo Dias
    Microsoft Community MCC, MVA IT PRO
    Lembre-se de Marcar como Resposta as postagens que resolveram o seu problema.

    sexta-feira, 19 de maio de 2017 15:40
  • Bom dia,

    Por falta de retorno esta thread esta encerrada!

    Por gentileza, caso necessário abra uma nova thread.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 22 de maio de 2017 16:39