2017/05/17 7:00PM PDT
AWS 發現 WannaCry 勒索軟體 (也稱為 WCry、WanaCrypt0r 2.0 和 Wanna Decryptor) 會利用多個 Microsoft Windows SMB 伺服器版本中的問題,從事不當活動。根據預設,SMB 會在 UDP 連接埠 137 與 138,以及 TCP 連接埠 139 與 445 上運作。這項服務可為遠端系統提供檔案和列印共用功能。Microsoft 在 2017 年 3 月 14 日發佈了 Microsoft Windows SMB 伺服器的重大安全性更新,這項更新可緩解此問題。如需詳細資訊,請參閱 Microsoft 的 Microsoft MSRC 部落格和 Microsoft 資訊安全佈告欄 MS17-010。除了以下各項,AWS 服務不受影響:
EC2 Windows
若是使用 AWS 在 2017.04.12 版本所提供的 AMI,或是啟用自動更新,皆不受影響。我們建議使用較舊 AMI 或未啟用自動更新的客戶安裝安全性更新。照慣例,AWS 還是建議客戶遵循安全最佳實務、審閱安全群組設定,並僅將上述連接埠的存取權限授予需要授權的執行個體和遠端主機。預設情形下,EC2 安全群組會封鎖這些連接埠。
若需查看 AWS 的 Windows AMI 版本備註,請參閱這裡。
WorkSpaces
2017 年 4 月 15 日 (含) 之後建立或啟用自動更新的工作空間,皆不受影響。2017 年 4 月 15 日之前建立工作空間且未啟用自動更新的客戶,建議安裝安全性更新,或是重建工作空間。
Directory Service
2017 年 5 月20 日更新:我們已完成修補 Microsoft AD 客戶目錄。客戶不需採取任何動作。
2017 年 5 月 17 日:我們正在積極修補 Microsoft AD 目錄。Directory Service 預設組態會保護客戶免於遭受外部存取,該組態僅允許自客戶的 VPC 內部存取。修補完成後,此佈告欄會加以更新。
Amazon Simple AD、AD Connector 和 AWS Cloud Directory 不受此問題影響。
Elastic Beanstalk
使用 2017 年 5 月 4 日之後建立或更新之 Windows Server 平台的 Elastic Beanstalk 環境不受此問題影響。建議使用現有 Elastic Beanstalk Windows 環境的客戶更新其平台版本,以取得更新。無論是存取 AWS 管理主控台或重建環境,都能達到更新的目的。若需最新平台版本的 Elastic Beanstalk 版本備註,請參閱這裡。