NAYANA

□ 개요

  o Windows DNS 서버에 대한 원격 관리를 위해 사용하는 RPC 모듈에 원격 코드 실행
     취약점[1]이 발견되어 주의가 필요
    - 현재, MS社에서 해당 취약점에 대한 보안권고[2]를 발표(4/13)하였으며,
       향후 패치 배포 예정

□ 해당 시스템 운영체제

   - MS Windows 2000 Server SP4

   - MS Windows Server 2003 SP1

   - MS Windows Server 2003 SP2

□ 조치 방안

  o MS社에서 보안패치가 발표되면 즉시 적용하는 것이 필요하며, 패치가 나오기 전까지는

     아래의 조치방법으로 예방을 실시하여야 함

  방안 1) 레지스트리 설정기능을 이용하여 RPC를 통한 DNS 서버 원격관리 기능을 정지

      단계 1. 시작 메뉴를 클릭하여  "실행" 창을 오픈한다.

      단계 2. 입력창에 "regedit"을 입력하고 엔터를 누른다.

      단계 3. 레지스트리 창에서 아래 레지스트리 항목으로 이동한다.

                 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS
                  \Parameters”

      단계 4. 편집 메뉴에서 "새로 만들기" 항목의 "DWORD 값"을 클릭한다.

      단계 5. "새 값 #1" 이 생성되면 레지스트리 이름을 "RpcProtocol"로 변경하고,

                  "RpcProtocol" 항목을 더블 클릭하여 데이터 값 ‘4’를 입력한다.

               ※ 참고 : 레지스트리 값을 잘못 설정하면 시스템 장애가 발생할 수 있으므로

                             주의를 요함

      단계 6. DNS 서비스를 재시작시킨다.

  방안 2) 침입차단시스템 등을 이용하여 포트 445, 1024 ~ 5000 포트 및 기타

            사용 하지 않는 포트 차단

               ※ 특정 프로그램에서 사용하고 있는 포트를 차단하는지 확인 필요

□ 참고사이트

[1] http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1748

[2] http://www.microsoft.com/technet/security/advisory/935964.mspx