| 취약점ID |
28028 |
| 위험도 |
30 |
| 포트 |
139,445 |
| 프로토콜 |
TCP |
| 분류 |
SMB |
| 상세설명 |
해당 Windows 레지스티리 키 'HKLM\CurrentControlSet\Control\SecurePipeServers\winreg'는 비 관리자 권한으로 쓰기 가능하게 되어 있다. 이 키에 대한 보안 퍼미션(permission)은 원격으로 레지스트리를 액세스하기 위해 시스템에 대한 접속할 수 있는 사용자와 그룹들을 정의한다.
Microsoft Windows NT 3.51와 Windows NT 4.0 서비스팩 3 이전 버전들은 디폴트 설치시 임의의 사용자가 원격으로 레지스트리에 접속할 수 있게 되어 있다. 또한 Microsoft Exchange Server 2000 소프트웨어의 설치 시에도 이 키를 모두가 쓰기 가능한 모드로 바꾸어 버린다. 원격지의 공격자들은 이 문제를 도용하여 레지스트리에 대한 수정 작업들을 할 수 있다.
* 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다.
* 참고 사이트:
http://www.microsoft.com/technet/security/bulletin/MS02-003.asp
http://support.microsoft.com/default.aspx?scid=KB;en-us;q153183
http://www.securityfocus.com/bid/6830
http://www.iss.net/security_center/static/151.php
* 영향을 받는 플랫폼:
Microsoft Exchange 2000
Windows NT Any version |
| 해결책 |
이 취약점에 대한 패치를 적용하여야 한다. 패치는 단지 WinReg 키에 대한 "Everyone" 그룹의 퍼미션만을 제거한다. 다른 모든 레지스트리 퍼미션은 그대로 남는다.
윈도우즈 NT의 경우:
다음 Windows NT 서비스팩 웹페이지로부터 가장 최신의 Windows NT 4.0 Service Pack (SP4 이상)을 구하여 적용하여야 한다:
Microsoft사는 더 이상 Windows NT를 지원하지 않는다. 벤더에 문의하여 서비스팩 (SP4 이상)으로 업그레이드 해야한다.
Microsoft Exchange Server 2000의 경우:
다음 마이크로소프트 보안 게시물 MS02-003을 참고하여 적절한 패치를 적용한다:
http://www.microsoft.com/technet/security/bulletin/MS02-003.asp
-- 그리고 --
레지스트리 편집기를 이용하여 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg 에 대해 Administrators 액세스만을 허용하도록 퍼미션을 적용한다. 만약 이 키가 존재하지 않는다면 키를 만들고 퍼미션을 적용한다.
레지스트리 액세스를 제한하기 위해서는:
1. 레지스트리 편집기를 연다. Windows NT/2000 시작 메뉴로부터 '실행'을 선택하고 regedt32를 타이핑한다. 그리고 나서 '확인'을 클릭한다.
2. HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg 레지스트리 키로 이동한다.
3. 보안 메뉴에서 '사용 권한'을 선택하면 레지스트리 키 퍼미션 다이얼로그 박스가 디스플레이된다.
4. 리스팅된 퍼미션을 점검하여 원격으로 레지스트리 액세스를 허용할 사용자들에 대한 퍼미션을 설정한다. 윈도우에 대한 디폴트 설정은 레지스트리에 대한 원격 액세스를 Administrators에게만 허용한다. 윈도우즈 2000 이후에서는 Administrators와 Backup Operators에게만 레지스트리에 대한 디폴트 네트웍 액세스를 허용하고 있다.
5. 레지스트리 편집기를 종료하고 윈도우즈 재시작한다. |
| 관련 URL |
CVE-1999-0562,CVE-2002-0049 (CVE) |
| 관련 URL |
(SecurityFocus) |
| 관련 URL |
(ISS) |
|
