English

◀◁ 뒤로 취약점ID 12044 위험도 40 포트 135 프로토콜 TCP 분류 SMB 상세설명 해당 Windows 시스템은 RPC DCOM 인터페이스 상의 서비스 거부 취약점과 권한 상승 취약점에 취약하다. 서비스 팩 3 또는 4가 설치된 Windows 2000 시스템과 Windows 2003 서버는 TCP/IP 상에서 메시지 교환을 담당하는 RPC 서비스에 기인한 서비스 거부 취약점에 취약하다. 이 서비스 거부 취약점은 특수하게 조작된 메시지를 제대로 처리하지 못하는데 그 원인이 있다. 취약점을 도용하기 위해, 공격자들은 잘 조작된 메시지를 DCOM __RemoteGetClassObject interface 로 보냄으로써, RPC 서비스가 크래쉬(crash)를 일으키게 하거나 RPC 서비스와 관련된 모든 서비스 및 어플리케이션이 비정상적인 상태에 이르게 할 수 있다. 만약, 원격지 공격자가 시스템의 계정을 가지고 있다면, epmapper pipe를 가로챌 수 있으며 RPC 서비스를 크래쉬 시킨 후 상승된 권한(Privilege Escalation)을 얻어낼 수도 있다. * 알림: 해당 Windows 시스템의 RPC 서비스는 이 점검에 의해 크래쉬 되었을 것이다. 따라서 정상적인 기능 회복을 위해서는 시스템의 리부팅이 필요하다. * 참고 사이트: http://www.securityfocus.com/archive/1/329755 http://archives.neohapsis.com/archives/bugtraq/2003-07/0255.html * 영향을 받는 플랫폼: Windows 2000 SP3, SP4 Windows 2003 Server Windows XP 해결책 다음 마이크로소프트의 보안 게시판 MS03-039를 참조하여 시스템에 적절한 패치를 적용하여야 한다: http://www.microsoft.com/technet/security/bulletin/ms03-039.asp -- 혹은 -- 윈도우즈 플랫폼들을 위한 패치들은 또한 Microsoft Windows Update 웹 사이트인 http://windowsupdate.microsoft.com 에서도 구할 수 있다. Windows Update는 사용중인 윈도우즈의 버전을 자동으로 찾아내고 적절한 패치를 제공해 준다. 임시 조치방법들: 방화벽에서 135(139,445,593)번 포트를 차단하거나 Windows XP 또는 Windows Server 2003의 경우, 기본적으로 인터넷의 inbound RCP 트래픽을 차단해 주는 인터넷의 연결 방화벽을 사용한다. -- 혹은 -- 영향 받는 모든 시스템에서 DCOM 기능을 해제한다. 1. 시작 메뉴의 실행을 통해 Dcomcnfg.exe를 실행한다. Windows XP 또는 Windows Server 2003을 실행하는 경우, 다음과 같은 추가 단계를 수행한다. 1) 콘솔 루트에서 구성 요소 서비스 노드를 클릭하고 컴퓨터 하위 폴더를 연다. 2) 로컬 컴퓨터인 경우 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 선택한다. 3) 원격 컴퓨터인 경우 컴퓨터 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 컴퓨터를 클릭한다. 컴퓨터 이름을 입력한 후 해당 컴퓨터 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택한다. 2. <기본 등록 정보> 탭을 선택한 후 "이 컴퓨터에서 DCOM 사용" 체크박스를 해제한다. 만약, DCOM 기능을 해제하게 되면 컴퓨터 개체간의 모든 통신이 불가능하며, 원격 컴퓨터의 DCOM 기능을 해제한 후 다시 설정할 경우, 해당 컴퓨터에 원격으로 액세스하지 못할 수도 있다. DCOM을 다시 설정하려면 해당 컴퓨터에 실제로 액세스해야 한다. 관련 URL CVE-2003-0715,CVE-2003-0528,CVE-2003-0605 (CVE) 관련 URL 8458 (SecurityFocus) 관련 URL 12679 (ISS)