English

◀◁ 뒤로 취약점ID 26054 위험도 40 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 해당 시스템에는 'RPC 인터페이스의 버퍼 오버플로우 취약점'에 대한 Hotfix(KB823980)가 설치되어 있지 않다. RPC(Remote Procedure Call)는 특정 컴퓨터 상의 프로그램에서 원격 시스템의 코드를 완벽하게 실행할 수 있게 해주는 프로세스간 통신(IPC) 메커니즘을 구현하기 위한 Windows 운영 체제 상의 프로토콜이다. 그러나, Windows RPC 서비스에는 TCP/UDP 135 포트 상의 DCOM RCP 인터페이스를 통해 도용될 수 있는 버퍼 오버플로우 취약점이 존재한다. 이 버퍼 오버플로우는 Windows RPC 서비스가 특정 환경에서 메시지 입력을 올바르게 검사하지 못하는 데 그 원인이 있다. 이 취약점을 도용하기 위해, 원격지 공격자들은 잘 조작된 요청(request)을 원격지 시스템의 135번 포트에 전달한다. 그 결과, 버퍼 오버플로우가 발생하게 되고 원격지 공격자들은 원격지 시스템에 대한 완벽한 제어권을 획득할 수 있다. 제어권을 획득한 공격자는 웹 페이지의 변경, 하드 디스크 포맷 또는 로컬 관리자 그룹에 사용자 추가 등의 원하는 작업을 수행할 수 있다. 이 취약점은 TCP 139,135,445,593과 같은 RCP Endpoint Mapper가 사용하는 또 다른 포트를 통해서도 도용될 수 있다. * 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 참고 사이트: http://www.microsoft.com/technet/security/bulletin/ms03-026.asp * 영향을 받는 플랫폼: Windows NT 4.0 Server, SP 6a Windows NT 4.0 Terminal Server Edition, SP 6 Windows 2000, SP3, SP4 Windows XP 32 bit Edition, SP1 Windows XP 64 bit Edition, SP1 Windows Server 2003 32 bit Edition Windows Server 2003 64 bit Edition 해결책 다음 마이크로소프트의 보안 게시판 MS03-026를 참조하여 시스템에 적절한 패치를 적용하여야 한다: http://www.microsoft.com/technet/security/bulletin/ms03-026.asp -- 혹은 -- 윈도우즈 플랫폼들을 위한 패치들은 또한 Microsoft Windows Update 웹 사이트인 http://windowsupdate.microsoft.com 에서도 구할 수 있다. Windows Update는 사용중인 윈도우즈의 버전을 자동으로 찾아내고 적절한 패치를 제공해 준다. 임시 조치방법들: 방화벽에서 135(139,445,593)번 포트를 차단하거나 Windows XP 또는 Windows Server 2003의 경우, 기본적으로 인터넷의 inbound RCP 트래픽을 차단해 주는 인터넷의 연결 방화벽을 사용한다. -- 혹은 -- 영향 받는 모든 시스템에서 DCOM 기능을 해제한다. 1. 시작 메뉴의 실행을 통해 Dcomcnfg.exe를 실행한다. Windows XP 또는 Windows Server 2003을 실행하는 경우, 다음과 같은 추가 단계를 수행한다. 1) 콘솔 루트에서 구성 요소 서비스 노드를 클릭하고 컴퓨터 하위 폴더를 연다. 2) 로컬 컴퓨터인 경우 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 선택한다. 3) 원격 컴퓨터인 경우 컴퓨터 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 컴퓨터를 클릭한다. 컴퓨터 이름을 입력한 후 해당 컴퓨터 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택한다. 2. <기본 등록 정보> 탭을 선택한 후 "이 컴퓨터에서 DCOM 사용" 체크박스를 해제한다. 만약, DCOM 기능을 해제하게 되면 컴퓨터 개체간의 모든 통신이 불가능하며, 원격 컴퓨터의 DCOM 기능을 해제한 후 다시 설정할 경우, 해당 컴퓨터에 원격으로 액세스하지 못할 수도 있다. DCOM을 다시 설정하려면 해당 컴퓨터에 실제로 액세스해야 한다. 관련 URL CVE-2003-0352 (CVE) 관련 URL 8205 (SecurityFocus) 관련 URL 12629 (ISS)