시스템관리자의 쉼터 커피닉스 커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳
 FAQFAQ   검색검색   멤버리스트멤버리스트   사용자 그룹사용자 그룹   사용자 등록하기사용자 등록하기 
 개인 정보개인 정보   비공개 메시지를 확인하려면 로그인하십시오비공개 메시지를 확인하려면 로그인하십시오   로그인로그인 

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..




BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시
Windows의 RPCSS Service 버퍼 오버런 문제. 업데이트 필

 
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보
이전 주제 보기 :: 다음 주제 보기  
글쓴이 메시지
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2003.9.16 화, 3:07 pm    주제: Windows의 RPCSS Service 버퍼 오버런 문제. 업데이트 필 인용과 함께 답변

출처 : CERTCC-KR, http://www.certcc.or.kr/eWAS_NOTICE/KA2003-066.htm
윈도우즈 사용자는 빨리 업데이트 하세요.

---------------------------------------------------------------------

* 출 처 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
* 작 성 자 공재순
* 제 목 [C급] RPCSS Service 의 버퍼 오버런으로 인한 코드 실행 문제

* 해당시스템

Windows XP Professional
Windows 2003 Server
Windows 2000 Professional
window nt/2000 server

* 영 향

이 취약점으로 인하여 공격자가 원하는 임의의 작업을 수행할 수 있다.

* 설 명

DCOM 활성화에 대한 RPC 메시지를 처리하는 RPCSS 서비스 부분에서 세 가지 취약점이 확인되었다.

취약점은 Windows RPC 서비스가 잘못된 메세지를 처리하는 방식에 문제가 있어 발생하며, 이 결함은 DCOM(Distributed Component Object Model) 인터페이스에 영향을 준다.

DCOM의 동작에 필요한 RPC message를 처리하는 RPCSS Service에 대해 공격자는 잘못된 RPC 메시지를 보냄으로써 임의의 코드를 실행하여 시스템의 RPC 서비스에 장애를 일으킬 수 있고, 그 결과로 DOS공격이 일어날 수 있다. Local System Privileges를 가진 상태에서 코드를 실행하게 되면 공격자는 system exploit이 가능해져, 프로그램을 설치하거나 데이
터 수정 및 삭제등이 가능해 지고, 모든 작업을 할 수 있는 계정을 생성 할 수도 있다.

* 해 결 책

공격으로부터 사용자 시스템을 보호하기 위해 아래의 방법을 사용한다.

1. RPC 서비스가 꼭 필요한 경우가 아닌 경우

① 방화벽에서 135번 포트를 차단

135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용되며, 방화벽에서 135번 포트를 차단하면 이 취약점을 악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있다.

② 인터넷 연결 방화벽

인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는 경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단된다.

③ 영향 받는 모든 시스템에서 DCOM 기능을 해제한다.

- DCOM을 수동으로 설정하거나 해제하는 내용은 아래의 사이트를 참고한다.

http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

- RPC에 의해 사용되어지는 포트관련 정보는 아래 사이트를 참조한다.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp

2. RPC서비스가 필요한 경우 보안 패치된 버젼을 다운로드 받아 설치한다.

Windows NT Workstation 4.0

http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=ko

Windows NT Server 4.0

http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=ko

Windows NT Server 4.0, Terminal Server Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en

Windows 2000

http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=ko

Windows XP

http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=ko

Windows XP 64 bit Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en

Windows XP 64 bit Edition Version 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en

Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=ko

Windows Server 2003 64 bit Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en

참조사이트

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

* 참조사이트

MS 한글 보안권고문
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS 영문 보안권고문
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
이전 글 표시:   
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보 시간대: GMT + 9 시간(한국)
페이지 11

 
건너뛰기:  
새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다


Powered by phpBB © 2001, 2005 phpBB Group