Author Topic: Falsi Positivi "EtarnalBlue"  (Read 3365 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Falsi Positivi "EtarnalBlue"
« on: August 10, 2017, 12:25:21 AM »
Da un mesetto sono passato dalla versione Avg 2015 ad Avast Free 2017 soltanto che ogni tanto durante il giorno totalmente a random mi appare il seguente allert

Oggetto (L'ip cambia sempre)
smb://"ip"/nsa:cve-2017-0144 EternalBlue

Infezione:
SMB:CVE-2017-0144 [EXPL]

Process:
System

- Il PC (W7 Pro) possiede tutti gli aggiornamenti di Windows Installati
- Il PC non ha ralletamenti o problemi
- Le scansioni fatte con l'antivirus (Intelligente e Veloce) non hanno trovato nessun problema
- Il messaggio appare totalmente a random (anche se non sono al PC) oppure possono passare dei giorni/ore senza che appaia.

Però ho notato una cosa molto strana, sembra che questo messaggio appare se ho la connessione vpn/remota attiva (la uso per avere il Nat aperto dato che il modem non mi permette di aprire porte o Upnp). Se non abilitò quella connessione sembra non apparire. 


Edit: Ho notato che la porta 445 (porta SMB) con la connessione vpn attiva è aperta, se l'ha disattivo è chiusa. Potrebbe essere questo il problema?
« Last Edit: August 10, 2017, 12:53:23 AM by Luca_b94 »

Offline Jacques Fondaire

  • Super Poster
  • ***
  • Posts: 2164
Re: Falsi Positivi "EtarnalBlue"
« Reply #1 on: August 30, 2017, 01:31:23 PM »
Ciao,


EternalBlue non è un falso positivo :
https://it.wikipedia.org/wiki/EternalBlue

Queste informazioni di Microsoft possono essere utili all' utente. È importante disattivare la SMB versione 1.
https://support.microsoft.com/it-it/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

Saluti, sinceramente,

REDACTED

  • Guest
Re: Falsi Positivi "EtarnalBlue"
« Reply #2 on: December 22, 2017, 09:40:30 PM »
stesso problema
SMB:CVE-2017-0144 [Expl]

grazie Jacques Fondaire per il link

ma non riesco a capire come disabilitare SMB1 in win 7 64bit
leggo ci sono varie procedure ma non so se le devo applicare tutte

per ora ho fatto solo questa: digitanto gli ultimi 2 comandi dal prompt di ms-dos con diritti d'amministrazione.

---
Come abilitare, disabilitare o determinare lo stato dei protocolli SMB nel client SMB
Per Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012

Nota Quando si abilita o si disabilita SMBv2 in Windows 8 o in Windows Server 2012, viene abilitato o disabilitato anche SMBv3. Questo comportamento è dovuto al fatto che tali protocolli condividono lo stesso stack.
SMB v1 su server SMB
Rilevamento:    sc.exe query lanmanworkstation
Disabilitazione:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

----

devo fare pure le 2 procedure che stanno sotto "Disabilitare il server SMBv1 tramite i Criteri di gruppo" ?
« Last Edit: December 22, 2017, 09:59:08 PM by umbertopc »

REDACTED

  • Guest
Re: Falsi Positivi "EtarnalBlue"
« Reply #3 on: December 22, 2017, 10:54:24 PM »