[보안]SMB 취약점 랜섬웨어(WannaCry) 예방/방지

최근 전세계적으로 발생하고 있는 랜섬웨어(WannaCry)가 난리가 났더군요.

해당 랜섬웨어는 SMB 취약점을 악용한 것이라고합니다.

SMB(Server Msessage Block)란

 Microsoft Windows OS에서 폴더 및 파일 등을 공유하기 위해 사용되는 메시지 형식입니다.

랜섬웨어 악성코드(WannaCry) 특징

다양한 문서파일(doc, ppt, hwp 등), 압축파일, DB 파일, 가상머신 파일 등을 암호화

비트코인으로 금전 요구, Tor 네트워크 사용, 다국어(한글 포함) 랜섬노트 지원

윈도우 최신버전에서는 발생하지 않지만, 구형 윈도우에서 발생한다고하니

해당되는 윈도우를 쓰시는 분들은 최신버전으로 윈도우로 업그레이드 계획을 하시거나

또는 최신 보안 패치를 진행하시기 바랍니다.

혹시나 보안 패치가 어려우신 분들은 아래와 같이 진행하시면됩니다.

1. 네트워크 방화벽 및 Windows 방화벽을 이용하여 SMB 관련 포트 차단    SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP) 2. 운영체제 내 설정을 이용하여 모든 버전의 SMB 프로토콜 비활성화    - (Windows Vista 또는 Windows Server 2008 이상)    모든 운영 체제 : 시작 -> Windows Powershell -> 우클릭 -> 관리자 권한으로 실행 ->     ① set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB1 –Type DWORD –Value 0 –Force      ② set-ItemProperty –Path “HKLM:\SYSTEM\CurrentControlset\Services\Lanmanserver\Parameters” SMB2 –Type DWORD –Value 0 –Force     - (Windows 8.1 또는 Windows Server 2012 R2 이상)    클라이언트 운영 체제 : 제어판 -> 프로그램 -> Windows 기능 설정 또는 해제 ->    SMB1.0/CIFS 파일 공유 지원 체크해제 -> 시스템 재시작     서버 운영 체제 : 서버 관리자 -> 관리 -> 역할 및 기능 ->    SMB1.0/CIFS 파일 공유 지원 체크 해제 -> 확인 -> 시스템                                 재시작 3. (Windows XP 또는 Windows Server 2003 사용자) RDP 사용 시 IP접근통제를 통해    허용된 사용자만 접근할 수 있도록 설정 및 기본 포트번호(3389/TCP) 변경 4. (Windows Server 2003 이하 사용자) 서버 내 WebDAV 서비스 비활성화

어제일자로 MS에서 SMB관련 긴급 보안패치가 올라왔습니다.

아래처럼 하시면 됩니다.

Windows 자동 업데이트를 통한 업데이트 실시

    

[제어판] - [자동 업데이트] 실행 후 “자동”으로 설정

Windows Update 카탈로그에서 사용 중인 운영체제 버전에 맞는 업데이트 파일 수동 설치

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

현재 카탈로그에 접속이 원할하지 않아 파일첨부해드립니다.

windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

windowsserver2003-kb4012598-x86-custom-kor_347eb4f084fee8e54323c57d5571303b0ed6c2c4.exe

 

다들 대비를 하셔서 감염되는 피해가 없길 바랍니다.

출처 : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703