Windows의 RPCSS Service 버퍼 오버런 문제. 업데이트 필

[truefeel]

출처 : CERTCC-KR, http://www.certcc.or.kr/eWAS_NOTICE/KA2003-066.htm
윈도우즈 사용자는 빨리 업데이트 하세요.

---------------------------------------------------------------------

* 출 처 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
* 작 성 자 공재순
* 제 목 [C급] RPCSS Service 의 버퍼 오버런으로 인한 코드 실행 문제

* 해당시스템

Windows XP Professional
Windows 2003 Server
Windows 2000 Professional
window nt/2000 server

* 영 향

이 취약점으로 인하여 공격자가 원하는 임의의 작업을 수행할 수 있다.

* 설 명

DCOM 활성화에 대한 RPC 메시지를 처리하는 RPCSS 서비스 부분에서 세 가지 취약점이 확인되었다.

취약점은 Windows RPC 서비스가 잘못된 메세지를 처리하는 방식에 문제가 있어 발생하며, 이 결함은 DCOM(Distributed Component Object Model) 인터페이스에 영향을 준다.

DCOM의 동작에 필요한 RPC message를 처리하는 RPCSS Service에 대해 공격자는 잘못된 RPC 메시지를 보냄으로써 임의의 코드를 실행하여 시스템의 RPC 서비스에 장애를 일으킬 수 있고, 그 결과로 DOS공격이 일어날 수 있다. Local System Privileges를 가진 상태에서 코드를 실행하게 되면 공격자는 system exploit이 가능해져, 프로그램을 설치하거나 데이
터 수정 및 삭제등이 가능해 지고, 모든 작업을 할 수 있는 계정을 생성 할 수도 있다.

* 해 결 책

공격으로부터 사용자 시스템을 보호하기 위해 아래의 방법을 사용한다.

1. RPC 서비스가 꼭 필요한 경우가 아닌 경우

① 방화벽에서 135번 포트를 차단

135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용되며, 방화벽에서 135번 포트를 차단하면 이 취약점을 악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있다.

② 인터넷 연결 방화벽

인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는 경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단된다.

③ 영향 받는 모든 시스템에서 DCOM 기능을 해제한다.

- DCOM을 수동으로 설정하거나 해제하는 내용은 아래의 사이트를 참고한다.

http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

- RPC에 의해 사용되어지는 포트관련 정보는 아래 사이트를 참조한다.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp

2. RPC서비스가 필요한 경우 보안 패치된 버젼을 다운로드 받아 설치한다.

Windows NT Workstation 4.0

http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=ko

Windows NT Server 4.0

http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=ko

Windows NT Server 4.0, Terminal Server Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en

Windows 2000

http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=ko

Windows XP

http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=ko

Windows XP 64 bit Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en

Windows XP 64 bit Edition Version 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en

Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=ko

Windows Server 2003 64 bit Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en

참조사이트

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

* 참조사이트

MS 한글 보안권고문
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
MS 영문 보안권고문
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp