17.05.2017 19:00 Uhr PDT
AWS hat Kenntnis von der WannaCry-Ransomware (auch bekannt als WCry, WanaCrypt0r 2.0 und Wanna Decryptor) erhalten, die Probleme in verschiedenen Versionen von Microsoft Windows SMB Server ausnutzt. SMB kommuniziert standardmäßig über die UDP-Ports 137 und 138 sowie die TCP-Ports 139 und 445. Über diesen Service werden Funktionen für die Datei- und Druckfreigabe auf Remotesystemen bereitgestellt. Am 14. März 2017 veröffentlichte Microsoft ein kritisches Sicherheitsupdate für Microsoft Windows SMB Server, mit dem dieses Problem behoben wird. Weitere Informationen erhalten Sie von Microsoft im Microsoft MSRC-Blog und im Microsoft-Sicherheitsbericht MS17-010. Außer der nachfolgend genannten Services sind keine AWS-Services betroffen:
EC2 Windows
AWS-Kunden, die von AWS bereitgestellte Windows-AMIs in der Version vom 12.04.2017 verwenden oder ihre Software automatisch aktualisieren, sind nicht betroffen. Wir raten Kunden, die eine ältere AMI nutzen oder ihre Software nicht automatisch aktualisieren, zur Installation des Sicherheitsupdates. Wie üblich empfiehlt AWS allen Kunden, bewährte Sicherheitsverfahren zu befolgen und die Einstellungen ihrer Sicherheitsgruppen zu überprüfen. Zudem sollten Sie den Zugriff auf die oben genannten Ports nur den Instances und Remotehosts gewähren, die diesen unbedingt benötigen. Der Zugriff auf diese Blocks wird von EC2-Sicherheitsgruppen standardmäßig blockiert.
Die Versionshinweise für die von AWS bereitgestellten Windows-AMIs finden Sie hier.
WorkSpaces
WorkSpaces, die an oder nach dem 15. April 2017 erstellt wurden oder die automatisch aktualisiert werden, sind nicht betroffen. Wir raten Kunden, deren WorkSpaces vor dem 15. April 2017 erstellt wurden oder nicht automatisch aktualisiert werden, entweder das Sicherheitsupdate zu installieren oder ihre WorkSpaces neu zu erstellen.
Directory Service
Aktualisierung vom 20.05.2017: Wir haben das Patchen der Kundenverzeichnisse in Microsoft AD abgeschlossen. Vonseiten des Kunden besteht kein Handlungsbedarf.
17.05.2017: Wir arbeiten zurzeit an Patches für Microsoft AD-Verzeichnisse. Kunden sind mit der Standardkonfiguration des Directory Service vor unbefugten Zugriffen von außen geschützt. Diese erlaubt einen Zugriff ausschließlich aus der VPC des Kunden. Wir werden diesen Bericht aktualisieren, sobald die Patches angewendet wurden.
Amazon Simple AD, AD Connector und AWS Cloud Directory sind von diesem Problem nicht betroffen.
Elastic Beanstalk
Elastic Beanstalk-Umgebungen, die auf der Windows Server-Plattform ausgeführt werden und nach dem 4. Mai.2017 erstellt oder aktualisiert wurden, sind von diesem Problem nicht betroffen. Wir raten Kunden, die Elastic Beanstalk unter Windows ausführen, Ihre Plattformversion zu aktualisieren, um das Update zu erhalten. Dazu können sie entweder die AWS-Managementkonsole verwenden oder ihre Umgebung neu erstellen. Die Versionshinweise zu Elastic Beanstalk für die neuste Plattformversion finden Sie hier.