Windows: EternalBlue 익스플로잇으로 인한 코드 0x50 srv.sys 중지

Microsoft는 SMBv1.0과 관련된 보안 공지를 발표했습니다. 이 중 가장 심각한 취약점으로 인해 공격자가 특수하게 조작된 메시지를 Microsoft SMBv1(Server Message Block 1.0) 서버로 보낼 경우 원격 코드 실행이 허용될 수 있습니다.

메모리 덤프의 스택을 분석하고 다음과 같은 특정 줄을 찾아 이 문제가 발생하는지 식별할 수 있습니다.
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

영향을 받는 시스템:
윈도우 서버 2008
윈도우 서버 2008 R2
윈도우 서버 2012
윈도우 서버 2012 R2
윈도우 서버 2016
윈도우 7
윈도우 8
윈도우 8.1
윈도우 10
 

.

Microsoft는 SMB1에 대한 블로그 게시물을 게시하여 더 이상 사용되지 않으며 최신 OS 버전에서 사용해서는 안 된다고 설명했습니다.

이 문제는 익스플로잇에 의해 발생하므로 영향을 받는 시스템에서 바이러스 백신 프로그램을 실행해야 합니다.

해결 방법

다음 해결 방법이 상황에 도움이 될 수 있습니다.

• SMBv1 비활성화

  Windows Vista 이상을 실행하는 고객의 경우

  Microsoft 기술 자료 문서 2696547를 참조하십시오.

  Windows 8.1 또는 Windows Server 2012 R2 이상을 실행하는 고객을 위한 대체 방법

  클라이언트 운영 체제의 경우:

  1. 제어판을 열고 프로그램을 클릭한 다음 Windows 기능 설정/해제를 클릭합니다.
  2. Windows 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 취소한 다음 확인을 클릭하여 창을 닫습니다.
  3. 시스템을 다시 시작합니다.
      

  서버 운영 체제:

  1. 서버 관리자를 열고 관리 메뉴를 클릭한 다음 역할 및 기능 제거를 선택합니다.
  2. 기능 창에서 SMB1.0/CIFS 파일 공유 지원 확인란의 선택을 취소한 다음 확인을 클릭하여 창을 닫습니다.
  3. 시스템을 다시 시작합니다.
      

  해결 방법의 영향. SMBv1 프로토콜이 타겟 시스템에서 비활성화됩니다.
  SMBv1.0은 레거시 시스템(Windows XP, Windows Vista, Windows 2000, Windows 2003, Windows 2003 R2)을 지원합니다.

  해결 방법을 실행 취소하는 방법 해결 방법 단계를 되짚어 SMB1.0/CIFS 파일 공유 지원 기능을 활성 상태로 복원하려면 SMB1.0/CIFS 파일 공유 지원 확인란을 선택합니다.