Кратко: SMB (Server Message Block) — это сетевой протокол для общего доступа к файлам, принтерам и другим ресурсам в сетях Windows . Если вы открываете общую папку на сервере или подключаете сетевой диск — вы используете SMB. Протокол существует с 1980-х, но его старые версии настолько дырявы, что через них взламывали больницы и останавливали заводы . Сегодня SMB — это несколько версий: от опасного SMBv1 до защищённого SMB 3.1.1 с шифрованием .

▫️ Эволюция протокола SMB прошёл долгий путь от небезопасного «динозавра» до современного защищённого протокола . SMB 1.0 (1984): Первая версия, также известная как CIFS . Она не поддерживает шифрование, крайне неэффективна и содержит критические уязвимости . Сегодня официально признана устаревшей и опасной. SMB 2.0 (2006): Появился в Windows Vista и Server 2008. Уменьшил «болтливость» протокола и улучшил производительность . Но безопасность всё ещё хромала. SMB 3.0 (2012): Настоящий прорыв. Добавил сквозное шифрование и отказоустойчивость . Наконец данные защищены от перехвата . SMB 3.1.1 (2015): Современный стандарт . Использует AES-128-GCM для шифрования и предаутентификационную целостность, чтобы никто не мог перехватить соединение с самого начала .

▫️ Главная трагедия: EternalBlue Старая добрая SMBv1 стала причиной одной из самых масштабных кибератак в истории . В 2017 году хакеры из группы Shadow Brokers слили в открытый доступ эксплойт EternalBlue, разработанный АНБ США . Что это делает: Эксплойт позволяет хакеру отправить специальный «сломанный» пакет на компьютер с открытым портом 445 (SMB). Процессор неверно вычисляет размер данных, возникает переполнение буфера — и злоумышленник получает возможность выполнить любой код в ядре Windows . Итог — полный контроль над системой. WannaCry (2017): Этот червь использовал EternalBlue как «главный вход». Он сканировал интернет на предмет машин с открытым портом 445 и автоматически заражал их, без каких-либо действий со стороны пользователя . За несколько дней вирус зашифровал файлы на сотнях тысяч компьютеров в 150 странах . Ущерб WannaCry оценивают в $4 млрд . Среди жертв были больницы NHS (отменено 19 000 приёмов), заводы Renault и Nissan, компании FedEx и Telefónica .

▫️ Почему SMBv1 — это зло · Нет шифрования: Данные передаются открытым текстом. Любой в локальной сети может перехватить файлы и пароли . · Слабая аутентификация: Использует устаревший MD5, который легко взломать . · Уязвимости: Кроме EternalBlue, в SMBv1 находили утечку памяти и другие баги, которые позволяли неавторизованному клиенту читать содержимое памяти сервера .

▫️ Как защититься (2026) 1. Отключите SMBv1 — это главное. Проверьте, есть ли у вас старые устройства, которым нужен этот протокол. Если да — обновите их или изолируйте . Как это сделать: · Включить аудит: Set-SmbServerConfiguration -AuditSmb1Access $true -Force . · Проверить логи в Event Viewer (Applications and Services Logs > Microsoft > Windows > SMBServer > Audit), чтобы найти клиентов, использующих SMBv1 . · Отключить SMBv1: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force . · Также можно отключить SMB 2.0, чтобы заставить всех использовать SMB 3.0 . 2. Отключить порт 445 на периметре — SMB не должен «выглядывать» в интернет. Этот порт должен быть доступен только внутри вашей локальной сети . 3. Использовать шифрование SMB: Включить шифрование для SMB-ресурсов можно через PowerShell: Set-SmbShare -Name "ShareName" -EncryptData $true .

Главный вывод: SMB — это необходимый протокол для Windows-сетей, но только его современные версии (SMB 3.0 и выше) можно считать безопасными. SMBv1 должен быть мёртв в вашей инфраструктуре. Если вы всё ещё используете старые версии протокола, вы в зоне риска.

#smb #windows #eternalblue #wannacry #кибербезопасность #инфобез #протоколы