Microsoft Windows 공격도구 공개에 따른 주의 권고
보안공지 수정 : 2017-04-17
□ 개요
o Shadow Brokers(해킹그룹)이 Microsoft Windows OS Exploit 도구를 공개함에 따라 공격 가능성에 대비 주의 필요
o 공개 된 공격 도구에 사용된 취약점은 Windows 최신 버전에는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및
버전 업그레이드 권고
□ 공격 도구 별 영향 받지 않는 운영체제 버전
공격 도구 코드명 | 취약점 관련 링크 | 영향 받지 않는 운영체제 * 최신 보안 업데이트 적용 시 |
EternalBlue | MS17-010 | Windows Vista 이상 버전 |
EternalSynergy | ||
EternalChampion | ||
EternalRomance | ||
EducatedScholar | MS09-050 | Windows 모든 운영체제 |
EmeraIdThread | MS10-061 | |
EclipsedWing | MS08-067 | |
EsikmoRoll | MS14-068 | |
ErraticGopher | Windows Vista 배포 이전 수정 | |
EnglishmanDentist | Windows Vista 이하 버전 영향 받음 | Windows 7 이상 버전 |
EsteemAudit | ||
ExplodingCan |
□ 주요 내용
o Shadow Brokers가 공격도구를 다운받을 수 있는 링크와 패스워드를 공개
- 공개된 파일에는 다수의 윈도우 해킹도구와 SWIFT 관련 은행의 HOST, IP 정보, DB 내용을 검색할 수 있는 SQL 스크립트
정보 등이 담겨있음
o 공격도구 중, SMB 취약점을 이용한 공격 도구 사용 영상이 공개 되어 있음
□ 해결 방안
o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전
업그레이드 및 최신 보안패치 적용
o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
- (Windows Vista 또는 Windows Server 2008 이상)
모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->
① set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Paramerters” SMB1 –Type DWORD –Value 0 –Force
② set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
\Paramerters” SMB2 –Type DWORD –Value 0 –Force
- (Windows 8.1 또는 Windows Server 2012 R2 이상)
클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제
-> 시스템 재시작
서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작
③ (Windows Vista 이하 버전 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할
수 있도록 설정 및 기본 포트번호(3389/TCP) 변경 후 사용
④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
□ 용어 정리
o SMB(Server Msessage Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/