제목 : 플러그 앤 플레이의 취약점으로 인한 원격 코드 실행 및 권한 상승 문제점 (899588) 게시된 날짜: 2005년 8월 10일 버전: 1.0 취약점으로 인한 영향: 원격 코드 실행 및 로컬 권한 상승 최대 심각도: 긴급 참고로 이 취약점과 관련해서는 Windows 2000만 영향을 받습니다. 하지만 다양한 취약점 을 공격하도록 수시로 변종이 나타날 수 있습니다. 세부 사항이나 다운로드 정보 : http://www.microsoft.com/korea/technet/security/bulletin/MS05-039.mspx 추가 정보 : - 새로운 변종 Zotob.C가 발견되었습니다. 실행 파일 이름은 per.exe이며, 메일 주소록을 통해 전파하는 기능도 갖추고 있습니다. Zotob.C 변종 역시 MS05-039 취약점 공격은 Windows 2000에서만 가능합니다. - MS05-039 보안 업데이트를 설치하지 못하는 고객사가 있을 수 있습니다. (Windows 2000 에 SP4를 설치할 수 없는 환경 등) 이 때에는 다음 두 가지 workaround를 사용하십시오. 1. RestrictAnonymous = 2 설정 레지스트리 편집기에서 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous 값을 2로 설정 -또는- Active Directory 도메인 환경이라면 도메인의 [그룹 정책] 화면의 컴퓨터 구성 └ Windows 설정 └ 보안 설정 └ 로컬 정책 └ 보안 옵션 에서, [익명의 연결에 추가적인 제한]을 선택하여 "명백한 익명의 사용 권한이 없으면 액 세스 못함"으로 바꿉니다. 이 방법을 사용할 경우 Exchange 2000 SP2 및 Outlook 2000 SP3와 그 이전 버전을 사용할 때 주소록(GAL) 사용에 문제가 발생할 수 있으므로 주의하여 주십시오. 참고: http://support.microsoft.com/kb/309622 2. IPSec을 통해, 공격에 사용되는 포트를 차단 수동으로 구성하는 절차가 매우 복잡하고 길기 때문에, 스크립트를 첩부하였습니다. 압축을 풀고 ZOTOB_Frasser.cmd 파일을 실행하시면 됩니다. ipsecpol.exe 툴을 이용하여 구성하게 됩니다. 그럼 정책을 모두 적용 시킬 것입니다. 단, 실 서버에는 꼭 테스트를 적용 시키기 바랍니다. 만약 방화벽 있는 경우는 이 작업을 대행 하시면 됩니다. 확인 및 대처 방법 대부분의 안티바이러스 패턴 파일이 업데이트되어 이들 악성 코드를 제거할 수 있습니다. 수동으로 감염 여부를 확인하려면 다음 파일의 존재 및 네트워크 포트 사용 여부로 알 수 있습니다. Win32/Zotob.A: 파일 C:\Winnt\System32\botzor.exe, 네트워크 TCP 8080, 8888, 33333 포 트 Win32/Zotob.B: 파일 C:\Winnt\System32\cms.exe, 네트워크 TCP 8080, 8888, 33333 포트 Win32/Spybot: 파일 C:\Winnt\System32\pnpsrv.exe, 네트워크 TCP 5232 포트 앞으로 계속 나타날 변종을 수동으로 추적하기는 쉽지 않으므로 안티바이러스 제품으로 치 료하시기를 권장합니다만, 수동 제거 방법을 포함하여 대처 방법은 다음과 같습니다. 1. 아직 감염되지 않았다면 A. 방화벽에서 TCP 139와 445 포트를 차단 (가능하면 inbound 방향 모든 포트 차단) B. 자동 업데이트나 Windows Update를 통해서 MS05-039를 포함하여 모든 보안 업데이트 설 치 (시스템 재시작 필요) C. 사용중인 안티바이러스(백신) 제품의 패턴을 최신 파일로 업데이트 2. 이미 감염된 것으로 의심이 된다면 A. 방화벽에서 TCP 139와 445 포트를 차단 B. 자동 업데이트나 Windows Update를 통해서 MS05-039를 포함하여 모든 보안 업데이트 설 치 (시스템 재시작 필요) C. 사용중인 안티바이러스(백신) 제품의 패턴을 최신 파일로 업데이트 D. 인터넷 연결 케이블 분리 E. 악성 소프트웨어 제거 - 안티바이러스 제품을 통해 제거 (추천 방법) 또는 - 수동으로 제거 1) 작업 관리자에서 웜의 프로세스 중단 2) 탐색기에서 웜의 파일 삭제 3) 레지스트리 편집기에서 웜의 레지스트리 항목 삭제 4) host 파일 원상 복구 또는 삭제 F. 시스템 재시작 G. 인터넷 연결 케이블 다시 연결