17/05/2017 7:00PM PDT
A AWS está ciente do ransomware WannaCry (também conhecido como WCry, WanaCrypt0r 2.0 e Wanna Decryptor) que aproveita problemas em várias versões do Microsoft Windows SMB Server. Por padrão, o SMB opera nas portas UDP 137 e 138 e nas portas TCP 139 e 445. Esse serviço fornece aos sistemas remotos recursos de compartilhamento de arquivos e impressão. Em 14 de março de 2017, a Microsoft lançou uma atualização de segurança crítica para o Microsoft Windows SMB Server, o que atenua esse problema. Mais informações estão disponíveis no blog Microsoft MSRC da Microsoft e no Boletim de segurança da Microsoft MS17-010. Os serviços da AWS não são afetados, com exceção dos listados abaixo:
EC2 Windows
Os clientes da AWS que usam as AMIs Windows fornecidas pela AWS a partir da versão 2017.04.12, ou que habilitaram atualizações automáticas, não são afetados. Incentivamos os clientes que usam uma AMI mais antiga, ou que não têm atualizações automáticas habilitadas, a instalar a atualização de segurança. Como sempre, a AWS recomenda que os clientes sigam as práticas de segurança recomendadas, revejam suas configurações de grupos de segurança e concedam acesso às portas acima mencionadas apenas para instâncias e hosts remotos que precisem desse acesso. Por padrão, os grupos de segurança do EC2 bloqueiam essas portas.
Notas de release de AMIs Windows da AWS estão disponíveis aqui.
WorkSpaces
Os WorkSpaces criados em ou depois de 15 de abril de 2017, ou com atualizações automáticas habilitadas, não são afetados. Incentivamos os clientes que criaram seus WorkSpaces antes de 15 de abril de 2017, e não têm atualizações automáticas habilitadas, a instalar a atualização de segurança ou reconstruir seus WorkSpaces.
Directory Service
ATUALIZAÇÃO 2017/05/20: Concluímos a aplicação de patch em diretórios de clientes do Microsoft AD. O usuário não precisa executar nenhuma ação.
17/05/2017: Estamos ativamente aplicando patches em diretórios do Microsoft AD. Os clientes estão protegidos contra acesso externo pela configuração padrão do Directory Service, que permite o acesso somente na VPC do cliente. Atualizaremos este boletim quando a aplicação de patches estiver concluída.
O Amazon Simple AD, o AD Connector e o AWS Cloud Directory não são afetados por esse problema.
Elastic Beanstalk
Os ambientes Elastic Beanstalk usando a plataforma Windows Server criada ou atualizada depois de 4 de maio de 2017 não são afetados por esse problema. Encorajamos os clientes com ambientes Elastic Beanstalk para Windows existentes a atualizar suas versões da plataforma a fim de receberem a atualização. Isso pode ser feito por meio do Console de Gerenciamento da AWS ou fazendo uma reconstrução do ambiente. As notas de release do Elastic Beanstalk para a versão mais recente da plataforma estão disponíveis aqui.