윈도우, DNS 서버 공격에 노출
해결 방안
1. 시작 메뉴를 클릭하여 실행 창을 오픈한다.
2. 입력창에 Regedit를 입력하고 엔터를 누른다.
3. 레지스트리 트리 창에서 다음 아래 레지스트리 항목으로 이동한다.
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS
\Parameters”
4. 편집 메뉴에서 새로 만들기항목의 DWORD 값을 클릭한다.
5. 새 값 #1 이 생성되면 레지스트리 이름을 RpcProtocol으로 변경한다.
6. RpcProtocol항목을 더블 클릭하여 데이터 값 ‘4’를 입력한다.
7. DNS 서비스를 재시작한다.
2. 방화벽에서 공격에 사용될 수 있는 1024-5000 포트를 차단 -> 포트 차단시 다른 서비스 영향을 받을 수 있으므로 확인 후 처리 필요.(SQL 1433, Terminal 3389 등)
Joris Evers ( CNET News.com ) 2007/04/16
사이버 공격자들이 패치로 수정되지 않은 윈도우의 보안상 허점을 이용해 컴퓨터를 공격하려고 하고 있다고 MS가 12일(미국시간), 보안 경고를 발표했다.
MS는 보안경고문에서 이 공격의 대상이 되는 시스템은 「윈도우 2000 서버」와 「윈도우 서버 2003」으로 이 제품들의 DNS 서버 서비스에 존재하는 취약점이 악용될 수 있다고 전했다.
이 공격은 취약한 DNS 서비스에 부정한 방법으로 조작된 데이터를 송신하는 것에 의해 발생한다. DNS 서비스는 문자로 이루어진 인터넷 주소와 숫자로 이루어진 IP 주소를 변환해준다.
MS는 보안경고문을 통해 “익명의 공격자가 특별히 작성된 RPC 패킷을 취약한 시스템에 보내는 것만으로도 이 취약점을 악용할 수 있는 가능성이 있다.”라고 경고했다.
RPC(Remote Call Procedure)는 프로그램이 네트워크를 통해서 다른 컴퓨터상의 프로그램에 처리를 요구할 때에 이용하는 프로토콜이다.
지금까지도 RPC에는 다수의 보안상 취약점이 발견되고 있다. 예를 들어, 블라스터 웜이 유행했을 때에도 RPC와 관련이 있는 취약점이 악용되고 있었다.
프랑스의 FrSIRT(French Security Incident Response Team)는 이번 윈도우 DNS 관련 취약점을 4 단계 중 가장 위험도가 높은 「치명적(Critical)」으로 분류하고 있다.
이 취약점은 MS가 4월의 월례 패치 릴리스 사이클을 통해 5건이 보안 정보를 공개한 며칠 후에 발견되었다. 또한, 보안 전문가들은 오피스와 관련한 다수의 취약점과 윈도우와 관련된 1건의 제로 데이 취약점이 새롭게 발견되었다고 경고했다.
MS는 이번의 취약점에 대해 스택 베이스의 버퍼 오버 런을 일으키는 문제가 DNS 서버의 RPC 인터페이스에 존재한다고 밝혔다. 이는 MS나 윈도우 유저들에게 큰 고민거리가 되고 있는 코딩과 관계된 것과 같은 종류의 문제다.
또한, 공격이 성공할 경우, 유저에 의한 조작을 필요로 하지 않고 취약한 머신의 완전한 제어권을 빼앗을 수 있다고 설명했다.
MS는 이 취약점을 악용한 「한정적인 공격」이 발생하고 있다고 말하며 이 문제에 대처하는 윈도우 전용의 보안 업데이트를 완성하고 있는 중이라고 전했다.
아직 이 업데이트가 릴리스 될 시기에 대해서 발표된 정보가 없다. 하지만 다음 「패치 화요일(Patch Tuesday)」은 5월8일이 될 것으로 예상하고 있다. 하지만 이 취약점을 악용한 공격이 계속 될 경우 월례 패치 사이클과는 무관하게 별도의 보안 패치가 릴리스 될 가능성이 있다.
MS는 취약점에 대처하는 한편, 공격의 영향을 받는 버전의 윈도우를 사용하고 있는 유저들을 위해 몇 개의 회피책을 제공하고 있다.
DNS 서버 RPC 기능의 원격 관리자 기능을 해제시키거나 방화벽을 사용해 특정 데이터포트를 블록 하는 것, 그리고 필터링을 활용하는 것을 예로 들고 있다.
보안 전문 기업 시만텍 역시 12일, 이와 같은 방법을 이용하도록 유저들에게 요청했다.
시만텍은 「조기 경고 서비스(DeepSight Alert Service)」의 구독자들에게 “공격은 생각보다 광범위하게 진행될 것이 예상되기 때문에 고객들은 적절한 회피책을 가능한 한 빨리 선택해 실행에 옮겨야 한다”고 경고했다.
MS는「윈도우 XP」와「윈도우 비스타」는 이번 DNS 취약성의 영향을 받지 않지만, 「윈도우 2000 서버 서비스팩 4」,「윈도우 서버 2003 서비스팩1」,「윈도우 서버 2003 서비스팩 2」가 공격의 영향을 받을 것이라고 전했다.
