□ 개요 o Windows DNS 서버에 대한 원격 관리를 위해 사용하는 RPC 모듈에 원격 코드 실행 취약점[1]이 발견되어 주의가 필요 - 현재, MS社에서 해당 취약점에 대한 보안권고[2]를 발표(4/13)하였으며, 향후 패치 배포 예정 □ 해당 시스템 운영체제 - MS Windows 2000 Server SP4 - MS Windows Server 2003 SP1 - MS Windows Server 2003 SP2 □ 조치 방안 o MS社에서 보안패치가 발표되면 즉시 적용하는 것이 필요하며, 패치가 나오기 전까지는 아래의 조치방법으로 예방을 실시하여야 함 방안 1) 레지스트리 설정기능을 이용하여 RPC를 통한 DNS 서버 원격관리 기능을 정지 단계 1. 윈도우 시작 -> 실행 -> notepad 단계 2. 아래의 구문을 복사하고 확장자 .reg 저장 후 실행 시킨다 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters] "RpcProtocol"=dword:00000004 단계 3. DNS 서비스를 재시작시킨다. 방안 2) 침입차단시스템 등을 이용하여 포트 1024 ~ 5000 범위에 있는 인입 트래픽 차단 ※ 특정 프로그램에서 사용하고 있는 포트를 차단하는지 확인 필요 □ 참고사이트 [1] http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1748 [2] http://www.microsoft.com/technet/security/advisory/935964.mspx [참고] 1. F.A.Q o 보안업데이트는 언제 발표되나요? - 공식 보안업데이트 일정은 아직 발표되지 않았으며, 발표될 경우 KrCERT 홈페이지를 통해 신속히 공지할 예정입니다. o RPC(Remote Procedure Call)란 무엇인가? - 프로그램이 네트워크 상의 다른 컴퓨터에 위치한 프로그램에 서비스를 요청하기 위하여 사용하고 있는 프로토콜로 원격함수호출 방법을 말합니다. o 금번에 발표된 취약점은 DNS 서버의 취약점 입니까? - 아닙니다. 본 취약점은 윈도우 2000 서버 및 2003 서버 상에 운영되는 DNS 서비스 원격관리를 위해 사용되는 RPC 프로토콜의 취약점입니다. 2. 기타 문의사항 o 한국정보보호진흥원 인터넷침해사고대응지원센터 : 국번없이 118 참조 : 인터넷침해사고대응지원센터