想要快点找到电脑是否有WannaCry相关漏洞，请看这里！

对应日前WannaCry勒索软件的横行与威胁，已有不少资安厂商也提供建议与相关资讯供参考。而为了快速地找到公司内未修补MS17-010的电脑，我们看到有资讯人员提供，利用Nmap网路扫描与探测工具，自发性地制作一个检测范本script，以协助网管人员来检测。

这种方式对于企业网管人员而言应有一定的帮助，可以一次大量检查内部网路多台电脑的状态，而检查200台电脑大约也只要10秒钟。

步骤上也不算太复杂：一、到 nmap.org  下载 nmap.exe 并安装，二、将smb-vuln-ms17-010.nse丢到nmap\script目录下 ，三、键入:nmap -p 445 --script smb-vuln-ms17-010 ip-range

此外，为简化了个人使用者的预防工作，防毒大厂趋势科技现在也免费推出了的WannaCry漏洞检查工具。 点击前往官方连结

趋势表示，此工具可以帮个人使用者在windows电脑上执行以下两项工作，首先是检查电脑上是否存在MS17-010的漏洞，另外就是检查电脑上的SMB v1是否关闭，如呈现开启，亦可协助用户停用SMB v1。若是企业用户，最好先与IT管理人员确认，公司电脑是否须利用此工具关闭SMBv1。

同时他们表示，近日又侦测到另一新勒索蠕虫变种“UIWIX”，同样也是利用Server Message Block漏洞EternalBlue以执行扩散行为，甚至他们认为比WannaCry更加狡猾且不留痕迹，提醒使用者不该就此鬆懈。

在执行Trend Micro WCRY Simple Patch Validation Tool后，若电脑已完成MS17-010相关更新，会出现以上讯息，让使用者快速知道这台电脑，已经完成WannaCry必装的Windows安全更新套件。

另外，该程式若发现电脑上的SMB v1呈现开启，也将会询问用户是否要停用SMB v1。

使用Nmap针对WannaCry检测的Scripts范本

企业网管人员可将下方纯文字内容存成 smb-vuln-ms17-010.nse 档，有能力的人亦可参考 Github 上的文件自行修正

  local smb = require "smb"
local vulns = require "vulns"
local stdnse = require "stdnse"
local string = require "string" description = ---
-- @usage nmap -p445 --script smb-vuln-ms2017-010 <target>
-- @usage nmap -p445 --script vuln <target>
--
-- @output
-- Host script results:
-- | smb-vuln-ms17-010: -- | VULNERABLE:
-- | Remote Code Execution vulnerability in Microsoft SMBv1 servers -- | State: VULNERABLE
-- | IDs: CVE:CVE-2017-0143
-- | Risk factor: HIGH
-- | A critical remote code execution vulnerability exists in Microsoft SMBv1
-- | servers .
-- | -- | Disclosure date: 2017-03-14
-- | References:
-- | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
-- | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
-- |_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
--
-- @xmloutput
-- <table key="CVE-2017-0143">
-- <elem key="title">Remote Code Execution vulnerability in Microsoft SMBv1 servers </elem>
-- <elem key="state">VULNERABLE</elem>
-- <table key="ids">
-- <elem>CVE:CVE-2017-0143</elem>
-- </table>
-- <table key="description">
-- <elem>A critical remote code execution vulnerability exists in Microsoft SMBv1&#xa; servers .&#xa;</elem>
-- </table>
-- <table key="dates">
-- <table key="disclosure">
-- <elem key="month">03</elem>
-- <elem key="year">2017</elem>
-- <elem key="day">14</elem>
-- </table>
-- </table>
-- <elem key="disclosure">2017-03-14</elem>
-- <table key="refs">
-- <elem>https://technet.microsoft.com/en-us/library/security/ms17-010.aspx</elem>
-- <elem>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143</elem>
-- <elem>https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/</elem>
-- </table>
-- </table>
--- author = "Paulino Calderon <paulinocalderonpale.com>"
license = "Same as Nmap--See https://nmap.org/book/man-legal.html"
categories = {"vuln", "safe"} hostrule = function return smb.get_port ~= nil
end local function check_ms17010 local status, smbstate = smb.start_ex if not status then stdnse.debug1 return false, string.format else local overrides = {} local smb_header, smb_params, smb_cmd stdnse.debug1 overrides['parameters_length'] = 0x10 --SMB_COM_TRANSACTION opcode is 0x25 smb_header = smb.smb_encode_header smb_params = string.pack 0x0, -- Total Data count 0xFFFF, -- Max Parameter count 0xFFFF, -- Max Data count 0x0, -- Max setup Count 0x0, -- Reserved 0x0, --Flags 0x0, --Timeout 0x0, --Reserved 0x0, --ParameterCount 0x4a00, --ParameterOffset 0x0, --DataCount 0x4a00, -- DataOffset 0x02, -- SetupCount 0x0, -- Reserved 0x2300, -- PeekNamedPipe opcode 0x0, -- 0x0700, --BCC 0x5c50, --\P 0x4950, --IP 0x455c --E\ ) stdnse.debug2 result, err = smb.smb_send if then stdnse.debug1 return false, err end result, smb_header, _, _ = smb.smb_read _ , smb_cmd, err = string.unpack if smb_cmd == 37 then -- SMB command for Trans is 0x25 stdnse.debug1 --STATUS_INSUFF_SERVER_RESOURCES indicate that the machine is not patched if err == 0xc0000205 then stdnse.debug1 return true end else stdnse.debug1 return false, err end end
end action = function local vuln_status, err local vuln = { title = "Remote Code Execution vulnerability in Microsoft SMBv1 servers ", IDS = {CVE = 'CVE-2017-0143'}, risk_factor = "HIGH", description = , references = { 'https://technet.microsoft.com/en-us/library/security/ms17-010.aspx', 'https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/' }, dates = { disclosure = {year = '2017', month = '03', day = '14'}, } } local sharename = stdnse.get_script_args or "IPC$" local report = vulns.Report:new vuln.state = vulns.STATE.NOT_VULN vuln_status, err = check_ms17010 if vuln_status then stdnse.debug1 vuln.state = vulns.STATE.VULN else if nmap.verbosity >=1 then return err end end return report:make_output
end