보안공지 수정 : 2017-04-17

 
□ 개요
 o Shadow Brokers(해킹그룹)이 Microsoft Windows OS Exploit 도구를 공개함에 따라 공격 가능성에 대비 주의 필요
 o 공개 된 공격 도구에 사용된 취약점은 Windows 최신 버전에는 발생하지 않으므로 운영체제에 대한 최신 보안 업데이트 및

    버전 업그레이드 권고

□ 공격 도구 별 영향 받지 않는 운영체제 버전

 
□ 주요 내용
 o Shadow Brokers가 공격도구를 다운받을 수 있는 링크와 패스워드를 공개
  - 공개된 파일에는 다수의 윈도우 해킹도구와 SWIFT 관련 은행의 HOST, IP 정보, DB 내용을 검색할 수 있는 SQL 스크립트

     정보 등이 담겨있음
 o 공격도구 중, SMB 취약점을 이용한 공격 도구 사용 영상이 공개 되어 있음
 
□ 해결 방안
 o MS에서 보안 업데이트 지원을 중단한 Windows Vista 이하 버전을 이용하는 사용자는 Windows 7 이상의 운영체제로 버전

    업그레이드 및 최신 보안패치 적용

 o Windows 최신 보안 패치가 불가능한 사용자는 서비스 영향도를 검토하여 아래와 같은 방법으로 조치 권고
  ① 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단
     ※ SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
  ② 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화
   - (Windows Vista 또는 Windows Server 2008 이상)
       모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->
                              ① set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
                                  \Paramerters” SMB1 –Type DWORD –Value 0 –Force

                              ② set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver
                                  \Paramerters” SMB2 –Type DWORD –Value 0 –Force
 
   - (Windows 8.1 또는 Windows Server 2012 R2 이상)
      클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 -> SMB1.0/CIFS 파일 공유 지원 체크해제
                                       -> 시스템 재시작
      서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 -> SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템 재시작
 
  ③ (Windows Vista 이하 버전 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해 허용된 사용자만 접근할

      수 있도록 설정 및 기본 포트번호(3389/TCP) 변경 후 사용
  ④ (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화
 
□ 용어 정리
 o SMB(Server Msessage Block) : Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식
 
□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/