[ 공 지 ] Microsoft Windows 공격도구 공개에 따른 주의 권고 2017-04-15 안녕하십니까. 호스트먼트입니다. 먼저 호스트먼트를 아껴주시고 사랑해 주시는 고객 여러분께  진심으로 감사드리며 Microsoft Windows 공격도구 공개에 따른 주의 권고가 있어 이를 알려드리고자 합니다. --------------------------------------------------------------------------- □ 개요 o Shadow Brokers(해킹그룹)이 Microsoft Windows OS Exploit 도구를 공개함에 따라 공격 가능성에 대비 주의 필요 o 공개 된 공격 도구에 사용된 취약점은 Windows 최신 버전에는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및     버전 업그레이드 권고 □ 공격 도구 별 영향 받지 않는 운영체제 버전 □ 공격 도구 별 영향 받지 않는 운영체제 버전 EternalBlue MS17-010 Windows Vista 이상 버전 EternalSynergy EternalChampion EternalRomance EducatedScholar MS09-050 Windows 모든 운영체제 EmeraIdThread MS10-061 EclipsedWing MS08-067 EsikmoRoll MS14-068 ErraticGopher Windows Vista 배포 이전 수정 EnglishmanDentist Windows Vista 이하 버전 영향 받음 Windows 7 이상 버전 EsteemAudit ExplodingCan □ 주요 내용 o Shadow Brokers가 공격도구를 다운받을 수 있는 링크와 패스워드를 공개   - 공개된 파일에는 다수의 윈도우 해킹도구와 SWIFT 관련 은행의 HOST, IP 정보, DB 내용을 검색할 수 있는 SQL 스크립트      정보 등이 담겨있음 o 공격도구 중, SMB 취약점을 이용한 공격 도구 사용 영상이 공개 되어 있음 □ 해결 방안 o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전     업그레이드 및 최신 보안패치 적용 o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고   ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단      ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)    ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화    - (Windows Vista 또는 Windows Server 2008 이상)         모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->                                ① set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver                                    \Paramerters” SMB1 –Type DWORD –Value 0 –Force                               ② set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver                                    \Paramerters” SMB2 –Type DWORD –Value 0 –Force        - (Windows 8.1 또는 Windows Server 2012 R2 이상)        클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제                                        -> 시스템 재시작       서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작    ③ (Windows Vista 이하 버전 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할       수 있도록 설정 및 기본 포트번호(3389/TCP) 변경 후 사용   ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화 □ 용어 정리 o SMB(Server Msessage Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118 [참고사이트] [1] https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/    ---------------------------------------------------------------------------                     즐거움이 있는 호스팅 서비스  [ 호스트먼트 ]