Microsoft Security Bulletin MS09-050 - 긴급

완화란 취약점의 악용 심각도를 낮출 수 있는 설정, 일반적인 구성 또는 최선책, 기본 상태를 지칭합니다. 다음과 같은 완화 요소가 현재 상황에서 유용할 수 있습니다.

• 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.
• Windows Vista에서 네트워크 프로필이 "Public(공개)”으로 설정되어 있는 경우 기본적으로 원치 않는 인바운드 네트워크 패킷이 차단되므로, 시스템은 이 취약점으로 인한 영향을 받지 않습니다.
• Windows 7 및 Windows Server 2008 R2의 RTM(Release to Manufacturing) 버전은 이 취약점의 영향을 받지 않습니다.

대안이란 기본적인 취약점을 수정하지는 않지만 업데이트를 적용하기 전에 알려진 공격 경로를 차단하는 데 유용한 설정 또는 구성 변경을 지칭합니다. Microsoft는 다음과 같은 대안을 테스트했으며, 대안으로 인한 기능 저하 여부를 해당 항목에서 설명합니다.

• SMB v2를 사용하지 않도록 설정

  참고 이 대안을 사용하거나 사용하지 않도록 설정하려면 Microsoft 기술 자료 문서 975517을 참조하여 Microsoft Fix it 자동화 솔루션을 사용하십시오.

  레지스트리 키를 수정하려면 다음 절차를 수행하십시오.

  참고 레지스트리 편집기를 잘못 사용하면 시스템 전체에 심각한 문제가 발생할 수 있으며 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대한 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다. 레지스트리를 편집하는 방법에 대한 자세한 내용은 레지스트리 편집기(Regedit.exe)의 "키와 값 변경" 도움말 항목 또는 Regedt32.exe의 "레지스트리의 정보 추가와 삭제" 및 "레지스트리 정보 편집" 도움말 항목을 참조하십시오.

  1. 시작, 실행을 차례로 클릭하고 열기 상자에 Regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 키를 찾아 클릭합니다.
     
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
  3. LanmanServer를 클릭합니다.
  4. Parameters를 클릭합니다.
  5. 마우스 오른쪽 단추를 클릭한 다음 새 DWORD(32비트) 값을 추가합니다.
  6. smb2를 이름 데이터 필드에 입력하고 값 데이터 필드를 0으로 변경합니다.
  7. 레지스트리 편집기를 종료합니다.
  8. 다음 중 하나를 수행하여 "Server" 서비스를 다시 시작합니다.
     
     - 컴퓨터 관리 MMC를 열고 서비스 및 응용 프로그램으로 이동한 후 서비스를 클릭하고, Server 서비스 이름을 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다. 팝업 메뉴에서 예를 선택합니다.
     
     - 관리자 권한이 있는 명령 프롬프트에서 net stop server를 입력한 다음 net start server를 입력합니다.

  대안의 영향. 호스트가 SMBv2를 사용하여 통신하지 않게 됩니다. 대신 호스트는 SMB 1.0을 사용하여 통신합니다. 이 대안은 파일 및 프린터 공유와 같은 기본 서비스에 영향을 주지 않습니다. 이러한 기본 서비스는 계속 정상적으로 작동합니다.

  대안 실행 취소 방법:

  1. 시작, 실행을 차례로 클릭하고 열기 상자에 Regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 키를 찾아 클릭합니다.
     
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
  3. LanmanServer를 클릭합니다.
  4. Parameters를 클릭합니다.
  5. smb2를 두 번 클릭한 다음 값 데이터 필드를 1로 변경합니다.
  6. 레지스트리 편집기를 종료합니다.
  7. 다음 중 하나를 수행하여 "Server" 서비스를 다시 시작합니다.
     
     - 컴퓨터 관리 MMC를 열고 서비스 및 응용 프로그램으로 이동한 후 서비스를 클릭하고, Server 서비스 이름을 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다. 팝업 메뉴에서 예를 선택합니다.
     
     - 관리자 권한이 있는 명령 프롬프트에서 net stop server를 입력한 다음 net start server를 입력합니다.
• 방화벽에서 TCP 포트 139 및 445 차단

  이 포트들은 영향을 받는 구성 요소와 연결을 시작하는 데 사용됩니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 기타 포트를 악용할 수 있는 공격을 방지하려면 인터넷으로부터의 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

  대안의 영향: 여러 Windows 서비스가 영향을 받는 포트를 사용합니다. 이러한 포트에 대한 연결을 차단하면 여러 응용 프로그램 또는 서비스가 작동하지 않습니다. 다음 목록은 영향을 받는 일부 응용 프로그램 또는 서비스입니다.

  • SMB(CIFS)를 사용하는 응용 프로그램
  • 메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(RPC over SMB)
  • 서버(파일 및 인쇄 공유)
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스
  • 인쇄 스풀러
  • 컴퓨터 브라우저
  • 원격 프로시저 호출 로케이터
  • 팩스 서비스
  • 인덱싱 서비스
  • 성능 로그 및 경고
  • Systems Management Server
  • 라이선스 로깅 서비스

  대안 실행 취소 방법. 방화벽에서 TCP 포트 139 및 445를 차단 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

이 취약점을 악용하면 어느 작업까지 가능합니까?  
이 취약점은 서비스 거부 취약점입니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템이 수동으로 다시 시작될 때까지 응답을 중지하도록 만들 수 있습니다. 서비스 거부 취약점으로 인해 공격자가 코드를 실행하거나 사용자 권한이 상승되는 것은 아니지만 영향을 받는 시스템이 요청 수신을 중단하도록 만들 수 있습니다.

취약점의 원인은 무엇입니까?  
이 취약점은 Microsoft SMB(Server Message Block) 프로토콜 소프트웨어에서 특수하게 조작된 SMBv2 패킷의 구문을 분석할 때 모든 필드를 충분히 검사하지 않아 발생합니다.

SMBv2(Server Message Block Version 2)란 무엇입니까?  
서버 메시지 블록(SMB)은 Windows 기반 컴퓨터에서 기본적으로 사용하는 파일 공유 프로토콜입니다. SMB 버전 2.0(SMBv2)은 이 프로토콜의 업데이트이며 Windows Server 2008, Windows 7 및 Windows Vista를 실행하는 컴퓨터에서만 지원됩니다. SMBv2는 클라이언트와 서버에서 모두 지원해야만 사용할 수 있습니다. 클라이언트 또는 서버에서 SMBv2를 지원할 수 없는 경우 SMB 1.0 프로토콜이 대신 사용됩니다. 파일 운영에 사용되는 SMB 프로토콜 버전은 협상 단계에서 결정됩니다. 협상 단계에서 Windows Vista 클라이언트는 새로운 SMBv2 프로토콜을 이해할 수 있다고 서버에 알려줍니다. 해당 서버(Windows Server 2008 이상)가 SMBv2를 이해할 수 있는 경우 이후 통신을 위해 SMBv2가 선택됩니다. 그렇지 않으면 클라이언트 및 서버가 SMB 1.0을 사용하여 계속 정상적으로 작동합니다. SMBv2에 대한 자세한 내용은 MSDN 문서, SMB(Server Message Block) 버전 2 프로토콜 규격(영문)을 참조하십시오.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까?  
이 취약점 악용에 성공한 공격자는 사용자의 시스템이 수동으로 다시 시작될 때까지 응답을 중지하도록 만들 수 있습니다.

공격자는 이러한 취약점을 어떻게 악용합니까?  
공격자는 특수하게 조작한 SMBv2 패킷을 만들어 영향을 받는 시스템에 보내는 방법으로 취약점 악용을 시도할 수 있습니다.

취약점으로 인해 주로 공격 받을 위험이 있는 시스템은 무엇입니까?  
SMB 서버 서비스를 사용하는 모든 시스템이 이 취약점의 영향을 받습니다. 도메인 컨트롤러는 모든 도메인 사용자에게 네트워크 공유를 개방하기 때문에 이 취약점에 대해 매우 위험합니다.

업데이트는 어떤 기능을 수행합니까?  
이 보안 업데이트는 SMBv2 패킷 내부 필드의 유효성을 올바르게 검사하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까?  
아니요. Microsoft는 신뢰할 수 있는 정보 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까?  
아니요. Microsoft는 이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를 받지 못했으며, 이 보안 공지를 처음에 게시했을 때 개념 증명 코드의 예제를 보지 못했습니다.

완화란 취약점의 악용 심각도를 낮출 수 있는 설정, 일반적인 구성 또는 최선책, 기본 상태를 지칭합니다. 다음과 같은 완화 요소가 현재 상황에서 유용할 수 있습니다.

• 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.
• Windows Vista에서 네트워크 프로필이 "Public(공개)”으로 설정되어 있는 경우 기본적으로 원치 않는 인바운드 네트워크 패킷이 차단되므로, 시스템은 이 취약점으로 인한 영향을 받지 않습니다.
• Windows 7 및 Windows Server 2008 R2의 RTM(Release to Manufacturing) 버전은 이 취약점의 영향을 받지 않습니다.

대안이란 기본적인 취약점을 수정하지는 않지만 업데이트를 적용하기 전에 알려진 공격 경로를 차단하는 데 유용한 설정 또는 구성 변경을 지칭합니다. Microsoft는 다음과 같은 대안을 테스트했으며, 대안으로 인한 기능 저하 여부를 해당 항목에서 설명합니다.

• SMB v2를 사용하지 않도록 설정

  참고 이 대안을 사용하거나 사용하지 않도록 설정하려면 Microsoft 기술 자료 문서 975517을 참조하여 Microsoft Fix it 자동화 솔루션을 사용하십시오.

  레지스트리 키를 수정하려면 다음 절차를 수행하십시오.

  참고 레지스트리 편집기를 잘못 사용하면 시스템 전체에 심각한 문제가 발생할 수 있으며 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대한 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다. 레지스트리를 편집하는 방법에 대한 자세한 내용은 레지스트리 편집기(Regedit.exe)의 "키와 값 변경" 도움말 항목 또는 Regedt32.exe의 "레지스트리의 정보 추가와 삭제" 및 "레지스트리 정보 편집" 도움말 항목을 참조하십시오.

  1. 시작, 실행을 차례로 클릭하고 열기 상자에 Regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 키를 찾아 클릭합니다.
     
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
  3. LanmanServer를 클릭합니다.
  4. Parameters를 클릭합니다.
  5. 마우스 오른쪽 단추를 클릭한 다음 새 DWORD(32비트) 값을 추가합니다.
  6. smb2를 이름 데이터 필드에 입력하고 값 데이터 필드를 0으로 변경합니다.
  7. 레지스트리 편집기를 종료합니다.
  8. 다음 중 하나를 수행하여 "Server" 서비스를 다시 시작합니다.
     
     - 컴퓨터 관리 MMC를 열고 서비스 및 응용 프로그램으로 이동한 후 서비스를 클릭하고, Server 서비스 이름을 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다. 팝업 메뉴에서 예를 선택합니다.
     
     - 관리자 권한이 있는 명령 프롬프트에서 net stop server를 입력한 다음 net start server를 입력합니다.

  대안의 영향. 호스트가 SMBv2를 사용하여 통신하지 않게 됩니다. 대신 호스트는 SMB 1.0을 사용하여 통신합니다. 이 대안은 파일 및 프린터 공유와 같은 기본 서비스에 영향을 주지 않습니다. 이러한 기본 서비스는 계속 정상적으로 작동합니다.

  대안 실행 취소 방법:

  1. 시작, 실행을 차례로 클릭하고 열기 상자에 Regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 키를 찾아 클릭합니다.
     
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
  3. LanmanServer를 클릭합니다.
  4. Parameters를 클릭합니다.
  5. smb2를 두 번 클릭한 다음 값 데이터 필드를 1로 변경합니다.
  6. 레지스트리 편집기를 종료합니다.
  7. 다음 중 하나를 수행하여 "Server" 서비스를 다시 시작합니다.
     
     - 컴퓨터 관리 MMC를 열고 서비스 및 응용 프로그램으로 이동한 후 서비스를 클릭하고, Server 서비스 이름을 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다. 팝업 메뉴에서 예를 선택합니다.
     
     - 관리자 권한이 있는 명령 프롬프트에서 net stop server를 입력한 다음 net start server를 입력합니다.
• 방화벽에서 TCP 포트 139 및 445 차단

  이 포트들은 영향을 받는 구성 요소와 연결을 시작하는 데 사용됩니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 기타 포트를 악용할 수 있는 공격을 방지하려면 인터넷으로부터의 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

  대안의 영향: 여러 Windows 서비스가 영향을 받는 포트를 사용합니다. 이러한 포트에 대한 연결을 차단하면 여러 응용 프로그램 또는 서비스가 작동하지 않습니다. 다음 목록은 영향을 받는 일부 응용 프로그램 또는 서비스입니다.

  • SMB(CIFS)를 사용하는 응용 프로그램
  • 메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(RPC over SMB)
  • 서버(파일 및 인쇄 공유)
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스
  • 인쇄 스풀러
  • 컴퓨터 브라우저
  • 원격 프로시저 호출 로케이터
  • 팩스 서비스
  • 인덱싱 서비스
  • 성능 로그 및 경고
  • Systems Management Server
  • 라이선스 로깅 서비스

  대안 실행 취소 방법. 방화벽에서 TCP 포트 139 및 445를 차단 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

이 취약점을 악용하면 어느 작업까지 가능합니까?  
이것은 원격 코드 실행 취약점입니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

취약점의 원인은 무엇입니까?  
이 취약점은 Microsoft SMB(Server Message Block) 구현이 SMB 다중 프로토콜 협상 요청 패킷을 처리할 때 명령 값의 검증된 복사본을 사용하지 않아 발생합니다.

SMBv2(Server Message Block Version 2)란 무엇입니까?  
서버 메시지 블록(SMB)은 Windows 기반 컴퓨터에서 기본적으로 사용하는 파일 공유 프로토콜입니다. SMB 버전 2.0(SMBv2)은 이 프로토콜의 업데이트이며 Windows Server 2008, Windows 7 및 Windows Vista를 실행하는 컴퓨터에서만 지원됩니다. SMBv2는 클라이언트와 서버에서 모두 지원해야만 사용할 수 있습니다. 클라이언트 또는 서버에서 SMBv2를 지원할 수 없는 경우 SMB 1.0 프로토콜이 대신 사용됩니다. 파일 운영에 사용되는 SMB 프로토콜 버전은 협상 단계에서 결정됩니다. 협상 단계에서 Windows Vista 클라이언트는 새로운 SMBv2 프로토콜을 이해할 수 있다고 서버에 알려줍니다. 해당 서버(Windows Server 2008 이상)가 SMBv2를 이해할 수 있는 경우 이후 통신을 위해 SMBv2가 선택됩니다. 그렇지 않으면 클라이언트 및 서버가 SMB 1.0을 사용하여 계속 정상적으로 작동합니다. SMBv2에 대한 자세한 내용은 MSDN 문서, SMB(Server Message Block) 버전 2 프로토콜 규격(영문)을 참조하십시오.

Windows 7 RC(출시 후보) 버전도 이 취약점의 영향을 받습니까?  
예. 이 취약점은 Windows 7 출시 후보 버전의 출시 이후 발견되었습니다. Windows 7 출시 후보 버전을 실행하는 고객은 이 업데이트를 다운로드하여 시스템에 적용하는 것이 좋습니다. Windows 7 및 Windows Server 2008 R2의 최종 버전은 이 취약점의 영향을 받지 않습니다.

보안 업데이트는 Microsoft Update 및 Windows Update를 통해 제공됩니다. 보안 업데이트는 Microsoft 다운로드 센터에서도 다운로드할 수 있으며 "security update"라는 키워드를 사용하여 쉽게 찾을 수 있습니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까?  
이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다.

공격자는 이러한 취약점을 어떻게 악용합니까?  
공격자는 특수하게 조작한 SMB 패킷을 만들어 영향을 받는 시스템에 보내는 방법으로 취약점 악용을 시도할 수 있습니다.

취약점으로 인해 주로 공격 받을 위험이 있는 시스템은 무엇입니까?  
SMB 서버 서비스를 사용하는 모든 시스템이 이 취약점의 영향을 받습니다. 도메인 컨트롤러는 모든 도메인 사용자에게 네트워크 공유를 개방하기 때문에 이 취약점에 대해 매우 위험합니다.

업데이트는 어떤 기능을 수행합니까?  
이 업데이트는 SMB가 SMB 패킷의 명령 값을 처리하는 방식을 수정하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까?  
아니요. Microsoft는 신뢰할 수 있는 정보 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까?  
아니요. Microsoft는 이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를 받지 못했으며, 이 보안 공지를 처음에 게시했을 때 개념 증명 코드의 예제를 보지 못했습니다.

완화란 취약점의 악용 심각도를 낮출 수 있는 설정, 일반적인 구성 또는 최선책, 기본 상태를 지칭합니다. 다음과 같은 완화 요소가 현재 상황에서 유용할 수 있습니다.

• 최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.
• Windows Vista에서 네트워크 프로필이 "Public(공개)”으로 설정되어 있는 경우 기본적으로 원치 않는 인바운드 네트워크 패킷이 차단되므로, 시스템은 이 취약점으로 인한 영향을 받지 않습니다.
• Windows 7 및 Windows Server 2008 R2의 RTM(Release to Manufacturing) 버전은 이 취약점의 영향을 받지 않습니다.

대안이란 기본적인 취약점을 수정하지는 않지만 업데이트를 적용하기 전에 알려진 공격 경로를 차단하는 데 유용한 설정 또는 구성 변경을 지칭합니다. Microsoft는 다음과 같은 대안을 테스트했으며, 대안으로 인한 기능 저하 여부를 해당 항목에서 설명합니다.

• SMB v2를 사용하지 않도록 설정

  참고 이 대안을 사용하거나 사용하지 않도록 설정하려면 Microsoft 기술 자료 문서 975517을 참조하여 Microsoft Fix it 자동화 솔루션을 사용하십시오.

  레지스트리 키를 수정하려면 다음 절차를 수행하십시오.

  참고 레지스트리 편집기를 잘못 사용하면 시스템 전체에 심각한 문제가 발생할 수 있으며 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대한 해결을 보증하지 않습니다. 레지스트리 편집기의 사용에 따른 모든 책임은 사용자에게 있습니다. 레지스트리를 편집하는 방법에 대한 자세한 내용은 레지스트리 편집기(Regedit.exe)의 "키와 값 변경" 도움말 항목 또는 Regedt32.exe의 "레지스트리의 정보 추가와 삭제" 및 "레지스트리 정보 편집" 도움말 항목을 참조하십시오.

  1. 시작, 실행을 차례로 클릭하고 열기 상자에 Regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 키를 찾아 클릭합니다.
     
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
  3. LanmanServer를 클릭합니다.
  4. Parameters를 클릭합니다.
  5. 마우스 오른쪽 단추를 클릭한 다음 새 DWORD(32비트) 값을 추가합니다.
  6. smb2를 이름 데이터 필드에 입력하고 값 데이터 필드를 0으로 변경합니다.
  7. 레지스트리 편집기를 종료합니다.
  8. 다음 중 하나를 수행하여 "Server" 서비스를 다시 시작합니다.
     
     - 컴퓨터 관리 MMC를 열고 서비스 및 응용 프로그램으로 이동한 후 서비스를 클릭하고, Server 서비스 이름을 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다. 팝업 메뉴에서 예를 선택합니다.
     
     - 관리자 권한이 있는 명령 프롬프트에서 net stop server를 입력한 다음 net start server를 입력합니다.

  대안의 영향. 호스트가 SMBv2를 사용하여 통신하지 않게 됩니다. 대신 호스트는 SMB 1.0을 사용하여 통신합니다. 이 대안은 파일 및 프린터 공유와 같은 기본 서비스에 영향을 주지 않습니다. 이러한 기본 서비스는 계속 정상적으로 작동합니다.

  대안 실행 취소 방법:

  1. 시작, 실행을 차례로 클릭하고 열기 상자에 Regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 키를 찾아 클릭합니다.
     
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
  3. LanmanServer를 클릭합니다.
  4. Parameters를 클릭합니다.
  5. smb2를 두 번 클릭한 다음 값 데이터 필드를 1로 변경합니다.
  6. 레지스트리 편집기를 종료합니다.
  7. 다음 중 하나를 수행하여 "Server" 서비스를 다시 시작합니다.
     
     - 컴퓨터 관리 MMC를 열고 서비스 및 응용 프로그램으로 이동한 후 서비스를 클릭하고, Server 서비스 이름을 마우스 오른쪽 단추로 클릭한 다음 다시 시작을 클릭합니다. 팝업 메뉴에서 예를 선택합니다.
     
     - 관리자 권한이 있는 명령 프롬프트에서 net stop server를 입력한 다음 net start server를 입력합니다.
• 방화벽에서 TCP 포트 139 및 445 차단

  이 포트들은 영향을 받는 구성 요소와 연결을 시작하는 데 사용됩니다. 방화벽에서 TCP 포트 139 및 445를 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 기타 포트를 악용할 수 있는 공격을 방지하려면 인터넷으로부터의 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

  대안의 영향: 여러 Windows 서비스가 영향을 받는 포트를 사용합니다. 이러한 포트에 대한 연결을 차단하면 여러 응용 프로그램 또는 서비스가 작동하지 않습니다. 다음 목록은 영향을 받는 일부 응용 프로그램 또는 서비스입니다.

  • SMB(CIFS)를 사용하는 응용 프로그램
  • 메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(RPC over SMB)
  • 서버(파일 및 인쇄 공유)
  • 그룹 정책
  • Net Logon
  • 분산 파일 시스템(DFS)
  • 터미널 서버 라이선스
  • 인쇄 스풀러
  • 컴퓨터 브라우저
  • 원격 프로시저 호출 로케이터
  • 팩스 서비스
  • 인덱싱 서비스
  • 성능 로그 및 경고
  • Systems Management Server
  • 라이선스 로깅 서비스

  대안 실행 취소 방법. 방화벽에서 TCP 포트 139 및 445를 차단 해제합니다. 포트에 대한 자세한 내용은 TCP 및 UDP 포트 할당 (영문)을 참조하십시오.

이 취약점을 악용하면 어느 작업까지 가능합니까?  
이것은 원격 코드 실행 취약점입니다. 이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다. 이렇게 되면 공격자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

취약점의 원인은 무엇입니까?  
이 취약점은 Microsoft SMB(Server Message Block) 구현이 SMB 패킷을 적절히 분석하지 않아 발생합니다.

SMBv2(Server Message Block Version 2)란 무엇입니까?  
서버 메시지 블록(SMB)은 Windows 기반 컴퓨터에서 기본적으로 사용하는 파일 공유 프로토콜입니다. SMB 버전 2.0(SMBv2)은 이 프로토콜의 업데이트이며 Windows Server 2008, Windows 7 및 Windows Vista를 실행하는 컴퓨터에서만 지원됩니다. SMBv2는 클라이언트와 서버에서 모두 지원해야만 사용할 수 있습니다. 클라이언트 또는 서버에서 SMBv2를 지원할 수 없는 경우 SMB 1.0 프로토콜이 대신 사용됩니다. 파일 운영에 사용되는 SMB 프로토콜 버전은 협상 단계에서 결정됩니다. 협상 단계에서 Windows Vista 클라이언트는 새로운 SMBv2 프로토콜을 이해할 수 있다고 서버에 알려줍니다. 해당 서버(Windows Server 2008 이상)가 SMBv2를 이해할 수 있는 경우 이후 통신을 위해 SMBv2가 선택됩니다. 그렇지 않으면 클라이언트 및 서버가 SMB 1.0을 사용하여 계속 정상적으로 작동합니다. SMBv2에 대한 자세한 내용은 MSDN 문서, SMB(Server Message Block) 버전 2 프로토콜 규격(영문)을 참조하십시오.

Windows 7 RC(출시 후보) 버전도 이 취약점의 영향을 받습니까?  
예. 이 취약점은 Windows 7 출시 후보 버전의 출시 이후 발견되었습니다. Windows 7 출시 후보 버전을 실행하는 고객은 이 업데이트를 다운로드하여 시스템에 적용하는 것이 좋습니다. Windows 7 및 Windows Server 2008 R2의 최종 버전은 이 취약점의 영향을 받지 않습니다.

보안 업데이트는 Microsoft Update 및 Windows Update를 통해 제공됩니다. 보안 업데이트는 Microsoft 다운로드 센터에서도 다운로드할 수 있으며 "security update"라는 키워드를 사용하여 쉽게 찾을 수 있습니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까?  
이 취약점을 악용한 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다.

공격자는 이러한 취약점을 어떻게 악용합니까?  
공격자는 특수하게 조작한 SMB 패킷을 만들어 영향을 받는 시스템에 보내는 방법으로 취약점 악용을 시도할 수 있습니다.

취약점으로 인해 주로 공격 받을 위험이 있는 시스템은 무엇입니까?  
SMB 서버 서비스를 사용하는 모든 시스템이 이 취약점의 영향을 받습니다. 도메인 컨트롤러는 모든 도메인 사용자에게 네트워크 공유를 개방하기 때문에 이 취약점에 대해 매우 위험합니다.

업데이트는 어떤 기능을 수행합니까?  
이 보안 업데이트는 SMB가 특수하게 조작된 SMB 패킷의 구문을 분석하는 방식을 수정하여 취약점을 해결합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까?  
예. 이 취약점은 공개되었습니다. 이 취약점에는 CVE(Common Vulnerability and Exposure) 번호 CVE-2009-3103 (영문)이 지정되었습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까?  
아니요. Microsoft는 이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를 받지 못했으며, 이 보안 공지를 처음에 게시했을 때 개념 증명 코드의 예제를 보지 못했습니다.

참조 표

다음 표에는 이 소프트웨어에 대한 보안 업데이트 정보가 포함되어 있습니다. 추가 정보는 이 섹션의 배포 정보에서 찾아 볼 수 있습니다.

참조 표

다음 표에는 이 소프트웨어에 대한 보안 업데이트 정보가 포함되어 있습니다. 추가 정보는 이 섹션의 배포 정보에서 찾아 볼 수 있습니다.