마이크로소프트, 악성코드 차단을 위해 Exchange 관리자에 SMBv1 비활성화 권장

Microsoft Urges Exchange Admins to Disable SMBv1 to Block Malware

마이크로소프트가 Exchange 서버에서 악성코드와 공격 위협에 대한 보호를 강화하기 위해 SMBv1 네트워크 통신 프로토콜을 비활성화 할 것을 권장했습니다.

마이크로소프트는 2016년부터 관리자들에게 네트워크에서 SMBv1 지원을 중단할 것을 권장해왔습니다. SMBv1에는 이후 버전에 추가된 보안 기능이 없기 때문입니다.

이후 버전에 추가된 보안 기능은 암호화, 중간자 공격(MitM)을 방지하기 위한 무결성 체크, 안전하지 않은 게스트 인증 차단 등이 있습니다.

“최근 공격(Emotet, TrickBot, WannaCry 등)으로부터 Exchange 환경을 보호하기 위해, Exchange (2013/2016/2019)에서 SMBv1이 활성화되어 있을 경우 이를 비활성화하는 것이 좋습니다.”

“Exchange 2013/2016/2019이 시스템에 설치되어 있을 경우 30년이나 된 SMBv1 프로토콜을 실행할 필요가 없습니다. SMBv1은 안전하지 않으며, 계속 사용할 경우 후속 버전에서 제공하는 핵심 보안 기능을 버리는 꼴이 됩니다.”

지난 2017년에는 NSA가 취약한 SMBv1을 악용하여 취약한 서버에서 관리자 권한으로 명령을 실행할 수 있는 다양한 익스플로잇을 공개했습니다.

EternalBlue, EternalRomance 등으로 명명된 이 취약점들 중 일부는 TrickBot, Emotet, WannaCry, Retefe, NotPetya, Olympic Destroyer와 같은 악성코드에서 다른 기기로 확산되고 시스템을 파괴하거나 로그인 크리덴셜을 훔치는데 악용되었습니다.

SMBv1이 활성화된 상태인지 확인하세요

윈도우 10 버전 1709와 윈도우 서버 버전 1709부터는 SMBv1이 디폴트로 설치되지 않습니다. 새로운 윈도우 OS에서는 SMBv3을 사용하고 있습니다.

윈도우 서버에 SMBv1이 활성화 되었는지 확인하기 위해서는 사용 중인 윈도우 서버 버전에 아래 PowerShell 명령을 실행하면 됩니다.

Windows Server 2008 R2

SMBv1은 윈도우 서버 2008 R2에서 기본으로 활성화되어 있습니다. 따라서 아래 명령이 SMB1 값을 리턴하지 않거나 SMB 값을 1로 리턴할 경우 활성화된 상태입니다. SMB 값을 0으로 리턴할 경우 비활성화된 상태입니다.

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

Windows Server 2012

아래 명령이 false를 리턴한다면 SMBv1은 활성화되지 않은 상태입니다.

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Windows Server 2012 R2 및 이후 버전 

아래 명령이 false를 리턴한다면 SMBv1은 활성화되지 않은 상태입니다.

 (Get-WindowsFeature FS-SMB1).Installed

Get-SmbServerConfiguration | Select EnableSMB1Protocol

출처 :

https://www.bleepingcomputer.com/news/microsoft/microsoft-urges-exchange-admins-to-disable-smbv1-to-block-malware/