안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다. 

윈도우의 취약점으로 인한 공격이 많이 들어오고 있습니다. 이번에는 RPC 모듈 원격코드 실행이네요! 아래의 글을 참고하시고 서비스 하시는데 도움이 되셨으면 합니다.

문의 : 02-6265-1108 
담당자 : 김봉기  


□ 개요 

  o Windows DNS 서버에 대한 원격 관리를 위해 사용하는 RPC 모듈에 원격 코드 실행 
     취약점[1]이 발견되어 주의가 필요 
    - 현재, MS社에서 해당 취약점에 대한 보안권고[2]를 발표(4/13)하였으며, 
       향후 패치 배포 예정


□ 해당 시스템 운영체제 

   - MS Windows 2000 Server SP4 

   - MS Windows Server 2003 SP1 

   - MS Windows Server 2003 SP2 


□ 조치 방안 

  o MS社에서 보안패치가 발표되면 즉시 적용하는 것이 필요하며, 패치가 나오기 전까지는

     아래의 조치방법으로 예방을 실시하여야 함 


  방안 1) 레지스트리 설정기능을 이용하여 RPC를 통한 DNS 서버 원격관리 기능을 정지

      단계 1. 윈도우 시작 -> 실행 -> notepad 

      단계 2. 아래의 구문을 복사하고 확장자 .reg 저장 후 실행 시킨다


	Windows Registry Editor Version 5.00

	[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters]

	"RpcProtocol"=dword:00000004


      단계 3. DNS 서비스를 재시작시킨다. 

 

  방안 2) 침입차단시스템 등을 이용하여 포트 1024 ~ 5000 범위에 있는 인입 트래픽

            차단 

               ※ 특정 프로그램에서 사용하고 있는 포트를 차단하는지 확인 필요 

 
□ 참고사이트 

[1] http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1748 

[2] http://www.microsoft.com/technet/security/advisory/935964.mspx 

 
[참고]

1. F.A.Q

  o 보안업데이트는 언제 발표되나요?

      - 공식 보안업데이트 일정은 아직 발표되지 않았으며, 발표될 경우 KrCERT 홈페이지를 

         통해 신속히 공지할 예정입니다.
 

  o RPC(Remote Procedure Call)란 무엇인가?

      - 프로그램이 네트워크 상의 다른 컴퓨터에 위치한 프로그램에 서비스를 요청하기 위하여

         사용하고 있는 프로토콜로 원격함수호출 방법을 말합니다.

 
  o 금번에 발표된 취약점은 DNS 서버의 취약점 입니까?

      - 아닙니다.  본 취약점은 윈도우 2000 서버 및 2003 서버 상에 운영되는 DNS 서비스 

         원격관리를 위해 사용되는 RPC 프로토콜의 취약점입니다.
 

2. 기타 문의사항 

  o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118 


참조 : 인터넷침해사고대응지원센터