회원가입

로그인

아이디
비밀번호
ID/PW 찾기
아직 회원이 아니신가요? 회원가입 하기

[기술설명] RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제

Profile
:맥노턴
기술적 설명:


마이크로소프트는 Windows 분산 구성요소 개체 모델(DCOM) 원격 프로시저 호출 (RPC) 인터페이스에 존재하는 보안 취약점을 해결하기 위해서 2003년 7월 16일 이 게시판과 패치를 처음 발표했습니다. 이 패치는 보안 취약점을 제거할 수 있었고, 지금도 여전히 효과가 있습니다. 하지만 원래의 보안 게시판의 "예방 방법"과 "해결 방법(패치를 설치하지 않은 경우의 대안)"이, 취약점이 잠재적으로 공격받을 가능성이 있는 모든 포트를 명확히 명시하지 않았었습니다. RPC 서비스가 불려질 수 있는 포트를 좀 더 명확히 나열하고, 패치를 설치하기 전에 다른 대안책을 사용하기로 결정한 고객이 시스템을 보호하는 데 필요한 정보를 알도록 하기 위하여 본 게시판을 업데이트하였습니다. 이미 패치를 설치한 고객의 경우 이 취약점을 공격하려는 시도로부터 안전하게 보호되고 있으며 추가로 조치할 내용은 없습니다.

원격 프로시저 호출(RPC) 은 Windows 운영 체제에서 사용하는 프로토콜입니다. RPC를 사용하면 특정 컴퓨터에서 실행되는 프로그램에서 원격 시스템의 코드를 완벽하게 실행할 수 있게 해주는 프로세스간 통신(IPC) 메커니즘을 구현할 수 있습니다. 이 프로토콜은 원래 OSF(Open Software Foundation) RPC 프로토콜을 기반으로 하지만 Microsoft는 여기에 몇 가지 기능을 더 추가했습니다.

RPC에서 TCP/IP를 통한 메시지 교환을 처리하는 부분에 보안 취약점이 있습니다. 이 결함은 잘못된 형식의 메시지를 처리하는 방식에 문제가 있기 때문에 발생합니다. 이 취약점은 RPC 가능 포트에서 수신 대기하는 RPC와의 DCOM(Distributed Component Object Model)  인터페이스에 영향을 줍니다. 이 인터페이스는 범용 명명 규칙(UNC) 경로와 같이 클라이언트 시스템에서 서버로 보내는 DCOM 개체 활성화 요청을 처리합니다.

이 취약점을 악용하려면 침입자는 특수하게 만든 요청을 특정한 RPC 포트를 통해 원격 컴퓨터로 보내야 합니다.

예방 방법:



이 취약점을 악용하려면 침입자는 특수하게 만든 요청을 원격 시스템의 135, 139, 445 포트 또는 원격 컴퓨터에서 RPC 포트로 사용하도록 지정된 포트로 보낼 수 있어야 합니다. 인트라넷 환경에서는 일반적으로 이들 포트에 액세스할 수 있지만 인터넷에 연결된 시스템에서는 보통 방화벽으로 차단됩니다. 이 포트들이 차단되지 않은 경우나 인트라넷 구성에서는 침입자에게 아무런 추가 권한도 필요하지 않습니다.
가장 좋은 방법은 실제로 사용하지 않는 모든 TCP/IP 포트를 차단하는 것입니다. 이런 이유로 인터넷에 연결된 모든 컴퓨터에서 TCP나 UDP에서 RPC 사용을 차단해야 합니다. TCP와 UDP를 통한 RPC는 인터넷과 같이 보안에 취약한 환경에서 사용하도록 설계된 프로토콜이 아닙니다. 보안에 취약한 환경에는 HTTP를 통한 RPC와 같이 더욱 강력한 프로토콜을 제공합니다.
클라이언트 및 서버에서 RPC를 보호하는 자세한 방법은
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp  를 참조하십시오.

RPC에서 사용하는 포트에 대한 자세한 내용은 다음을 참조하십시오.
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp  
위험 등급:
Windows NT 4.0 높음
Windows NT 4.0 Terminal Server Edition 높음
Windows 2000 높음
Windows XP 높음
Windows Server 2003 높음



위의 등급은 이 취약점과 관련된 시스템 유형, 일반적인 배포 방법, 그리고 취약점이 악용될 때 시스템에 미치는 영향을 근거로 평가한 것입니다.

취약점 확인: CAN-2003-0352  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0352

테스트 버전:


Microsoft에서는 Windows Me, Windows NT 4.0, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP 및 Windows Server 2003이 이러한 취약점으로 인해 영향을 받는지 알아보기 위해 테스트를 실시하였습니다. 이전 버전은 더 이상 지원되지 않으며, 이 취약점에 의해 영향을 받을 수도 있고 받지 않을 수도 있습니다.

Profile
:맥노턴
레벨 30
569395/686490
81%
McNorton & Education Lab.
Director
댓글
0
댓글 쓰기
권한이 없습니다.

로그인

아이디
비밀번호
ID/PW 찾기
아직 회원이 아니신가요? 회원가입 하기