Уязвимость с идентификатором MS17-010 стала одной из самых резонансных проблем в истории кибербезопасности Windows. Именно этот эксплойт, получивший название EternalBlue, был использован хакерами для глобальной атаки вируса-шифровальщика WannaCry в 2017 году. Несмотря на то, что Microsoft выпустила патч еще несколько лет назад, тысячи компьютеров по всему миру остаются уязвимыми из-за отсутствия обновлений или использования неподдерживаемых версий ОС.
Суть проблемы кроется в ошибке обработки пакетов протокола SMBv1 (Server Message Block). Злоумышленник может отправить специально сформированный запрос на удаленный компьютер и выполнить произвольный код с правами системы. Это означает, что вредоносное ПО может проникнуть в сеть без какого-либо взаимодействия с пользователем, просто сканируя открытые порты.
В этой статье мы рассмотрим технические детали работы эксплойта, способы самостоятельной диагностики вашего компьютера и пошаговый план по полной нейтрализации угрозы. Отключение протокола SMBv1 является наиболее эффективным методом защиты, так как он полностью устраняет вектор атаки, даже если система не была обновлена.
Технические детали уязвимости и векторы атаки
Протокол SMB отвечает за общий доступ к файлам и принтерам в локальных сетях Windows. Уязвимость в реализации этого протокола позволяет удаленному атакующему переполнить буфер памяти службы srv.sys. В результате выполнения кода злоумышленник получает полный контроль над операционной системой. Это классическая уязвимость типа Remote Code Execution (RCE).
Особую опасность представляет возможность червеобразного распространения. Вирус, попавший на один компьютер, автоматически сканирует локальную сеть на наличие других машин с открытым портом 445. Если такая машина найдена и на ней не установлен патч MS17-010, заражение происходит мгновенно. Именно так WannaCry парализовал работу больниц и крупных корпораций.
⚠️ Внимание: Даже если у вас установлена современная Windows 10 или 11, наличие включенного протокола SMBv1 создает риск. Многие корпоративные вирусы до сих пор используют этот вектор для первоначального проникновения в сеть.
Атака не требует учетных данных пользователя. Достаточно, чтобы целевой компьютер был доступен по сети. Эксплойт использует специфику обработки транзакций в SMB, отправляя пакеты, которые система не может корректно интерпретировать, что приводит к выполнению вредоносного кода в ядре системы.
История создания эксплойта
Эксплойт EternalBlue был разработан Агентством национальной безопасности США (NSA) и использовался для киберразведки. В 2017 году группа хакеров The Shadow Brokers похитила набор инструментов NSA и выложила их в открытый доступ, что сделало мощное оружие доступным для любых киберпреступников.
Диагностика системы: проверка на наличие уязвимости
Первым шагом в обеспечении безопасности является точное определение статуса вашей системы. Не стоит полагаться на предположения; необходимо провести практическую проверку. Существует несколько способов убедиться, закрыта ли дыра MS17-010 на вашем компьютере.
Самый надежный метод — использование специализированного скрипта проверки или встроенных средств PowerShell. Вы можете запустить команду в терминале с правами администратора, чтобы получить статус установки критических обновлений безопасности.
Get-HotFix -Id KB4013389Если в ответ вы видите информацию об установленном обновлении, значит, базовая защита от конкретного эксплойта активна. Однако для комплексной проверки лучше использовать утилиту Nmap или скрипт ms17-010 от сообщества безопасности, которые эмулируют попытку сканирования уязвимости.
Также важно проверить, какие версии протокола SMB активны в вашей системе. Современные версии Windows по умолчанию могут иметь отключенный SMBv1, но иногда он включается сторонним ПО или старыми сетевыми настройками.
Установка обновлений безопасности и патчей
Основной метод борьбы с уязвимостью — своевременная установка обновлений от производителя ОС. Microsoft выпустила исправления для всех поддерживаемых версий Windows, включая серверные редакции. Игнорирование этих обновлений оставляет систему открытой для атак.
Для автоматического поиска и установки патчей необходимо перейти в центр обновлений. В интерфейсе настроек выберите раздел Обновление и безопасность → Центр обновления Windows. Нажмите кнопку"Проверить наличие обновлений". Система свяжется с серверами Microsoft и загрузит недостающие компоненты.
В таблице ниже приведены номера основных обновлений, закрывающих уязвимость для различных версий операционной системы. Сверьте эти данные с историей обновлений на вашем ПК.
| Версия Windows | Номер обновления (KB) | Дата выпуска патча | Статус поддержки |
|---|---|---|---|
| Windows 10 (все версии) | KB4013389 и новее | Март 2017 | Актуально |
| Windows 8.1 / Server 2012 R2 | KB4012213 | Март 2017 | Актуально |
| Windows 7 / Server 2008 R2 | KB4012212 | Март 2017 | Расширенная поддержка |
| Windows XP / Server 2003 | KB4012598 | Май 2017 (экстренный) | Не поддерживается |
Если автоматическое обновление не работает, вы можете скачать пакеты вручную из Каталога обновлений Microsoft. Это актуально для изолированных сетей или компьютеров, где служба обновлений была отключена групповыми политиками.
Отключение протокола SMBv1: радикальное решение
Даже при наличии обновлений, присутствие старого протокола SMBv1 в системе является нежелательным. Этот протокол устарел морально и технически, он неэффективен и небезопасен. Полное отключение компонента является лучшей практикой"защиты в глубину".
Выполнить отключение можно через панель управления или с помощью PowerShell. Второй способ предпочтительнее, так как он гарантирует применение настроек ко всем компонентам системы. Запустите консоль от имени администратора и введите следующую команду:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1ProtocolПосле выполнения команды система запросит перезагрузку. Без перезагрузки изменения не вступят в силу, и порт 445 может оставаться уязвимым для сканирования. После перезагрузки служба SMBv1 перестанет запускаться, и вектор атаки EternalBlue станет неработоспособным физически.
⚠️ Внимание: Отключение SMBv1 может нарушить работу очень старого сетевого оборудования (принтеры, NAS-хранилища) выпущенного до 2010 года. Перед отключением убедитесь, что ваше периферийное оборудование поддерживает SMBv2 или SMBv3.
Для проверки статуса отключения используйте команду Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol. В поле"Состояние" должно быть указано"Отключено". Если там стоит"Включено", повторите процедуру отключения.
☑️ Чек-лист по отключению SMBv1
Настройка брандмауэра и блокировка портов
Если по каким-то причинам вы не можете установить обновления или отключить протокол (например, на критически важном сервере со старым ПО), необходимо изолировать систему на сетевом уровне. Брандмауэр Windows или сторонний фаервол могут заблокировать входящие соединения на уязвимые порты.
Основной порт, используемый для атак через MS17-010 — это TCP 445. Также рекомендуется блокировать порты 137, 138 и 139, которые используются для NetBIOS. Блокировка этих портов на границе сети (роутере) предотвратит проникновение атаки из интернета.
Для создания правила в стандартном брандмауэре Windows перейдите в Панель управления → Брандмауэр Защитника Windows → Дополнительные параметры. Создайте новое правило для входящих подключений, выберите тип"Для порта" и укажите TCP порты 137, 138, 139, 445. Действие правила должно быть"Блокировать подключение".
Важно применять это правило ко всем профилям сети: частной, общественной и доменной. Это обеспечит защиту независимо от того, к какой сети подключен компьютер в данный момент.
Часто задаваемые вопросы (FAQ)
Может ли антивирус защитить от эксплойта MS17-010?
Современные антивирусы могут обнаруживать и блокировать payload (тело вируса), который пытается проникнуть через эту уязвимость. Однако они не закрывают саму дыру в системе. Лучшая стратегия — сочетание установленного патча безопасности и работающего антивируса.
Опасно ли использовать Windows 7 в 2026 году?
Использование неподдерживаемой ОС несет высокие риски. Хотя экстренный патч для MS17-010 был выпущен, новые уязвимости для Windows 7 больше не исправляются. Рекомендуется как минимум отключить SMBv1 и не выходить в интернет с такого компьютера без серьезной защиты.
Как проверить, открыт ли порт 445?
Вы можете использовать команду netstat -an | find"445" в командной строке. Если вы видите строку со статусом LISTENING, порт открыт и ждет соединений. Для внешней проверки лучше использовать онлайн-сканеры портов или утилиту Nmap.
Влияет ли отключение SMBv1 на работу общих папок в Windows 10/11?
Нет, не влияет. Современные версии Windows по умолчанию используют протоколы SMBv2 и SMBv3 для обмена файлами. Отключение устаревшей версии v1 никак не скажется на скорости или доступности сетевых ресурсов между современными компьютерами.