2017 年 5 月 17 日下午 7:00(太平洋夏令时)
AWS 了解到 WannaCry 勒索软件(也称为 WCry、WanaCrypt0r 2.0 和 Wanna Decryptor)会利用多个版本的 Microsoft Windows SMB Server 中的问题来发起攻击。默认情况下,SMB 在 UDP 端口 137 和 138 以及 TCP 端口 139 和 445 上运行。此服务为远程系统提供文件和打印共享功能。2017 年 3 月 14 日,Microsoft 发布了一项针对 Microsoft Windows SMB Server 的重要安全更新,可以缓解该问题。详情请参阅 Microsoft 的 Microsoft MSRC 博客和 Microsoft 安全公告 MS17-010。AWS 服务不受影响,下面列出的服务除外:
EC2 Windows
使用由 AWS 提供的版本为 2017.04.12 及以上的 Windows AMI 的客户,或已启用自动更新的 AWS 客户不受影响。我们建议使用旧版 AMI 或没有启用自动更新的客户安装该安全更新。与往常一样,AWS 建议客户遵循安全最佳实践、检查其安全组设置,并仅将上述端口的访问权限授予需要该权限的实例和远程主机。默认情况下,EC2 安全组会阻止这些端口。
AWS 的 Windows AMI 发布说明可单击此处查看。
WorkSpaces
在 2017 年 4 月 15 日或之后创建的工作区,或已启用自动更新的工作区将不受影响。我们建议在 2017 年 4 月 15 日之前创建工作区和没有启用自动更新的客户安装该安全更新或重建工作区。
Directory Service
更新 2017 年 5 月 20 日:我们已完成 Microsoft AD 客户目录的修补。客户无需执行任何操作。
2017 年 5 月 17 日:我们正在积极修补 Microsoft AD 目录。默认 Directory Service 配置可保护客户免遭外部访问,因为该配置仅允许从客户的 VPC 内部进行访问。完成修补后,我们将更新此公告。
此问题不会影响 Amazon Simple AD、AD Connector 和 AWS Cloud Directory。
Elastic Beanstalk
此问题不会影响在 2017 年 5 月 4 日之后创建或更新的使用 Windows Server 平台的 Elastic Beanstalk 环境。我们建议使用现有 Elastic Beanstalk Windows 环境的客户更新其平台版本,以便接收更新。此操作可通过 AWS 管理控制台或重建环境来完成。最新平台版本的 Elastic Beanstalk 发布说明可单击此处查看。