English

◀◁ 뒤로 취약점ID 28058 위험도 40 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 해당 시스템에는 'RAS' 레지스트리 키가 Administrators 그룹에 속해 있지 않은 사용자들에 의해 쓰기 가능하게 되어 있다. RAS 레지스트리 키의 위치는 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS 이다. RAS (Remote Access Service)용 각종 툴들의 관리를 담당하는 Windows NT 4.0에 있는 레지스트리 키는 비인가된 사용자들에게 쓰기 권한을 허용하도록 설정되어 있다. 이처럼 특별한 레지스트리 키에 할당된 느슨한 사용권한의 설정으로 인해, RAS 서버가 설치되어 있는 시스템에 로컬로 로그온 할 수 있는 사용자라면 RAS가 최초 작동 시에 실행되어 져야 하는 임의의 DLL 파일에 대한 키 값을 수정할 수 있다. RAS 레지스트리 키에 있는 DLL은 LocalSystem 권한으로 작동된다. 이 때문에 악의적인 사용자는 로컬 시스템에 대한 완전한 제어권을 얻어낼 수 있는 LocalSystem 권한으로 임의의 행위를 행사할 수 있을 것이다. 이 취약점은 Winreg 키가 레지스트리에 대한 원격 액세스를 허용하도록 되어 있다면 원격으로 도용될 수도 있다 (Winreg은 Windows NT 서버에서는 디폴트로 허용되어 있지 않으며 Windows NT Workstation에서는 디폴트로 허용되어 있다). RAS는 Windows NT 4.0에서는 디폴트로 설치되어 있지 않다. * 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 참고 사이트: http://www.microsoft.com/technet/security/bulletin/MS00-095.asp * 영향을 받는 플랫폼: Windows NT Any version 해결책 다음 마이크로소프트 보안 게시물 MS00-095을 참조하여 시스템에 적절한 패치를 적용하여야 한다: http://www.microsoft.com/technet/security/bulletin/MS00-095.asp -- 혹은 -- Administrators 그룹에 있지 않은 사용자들에 대해 RAS 레지스트리 키에 대한 쓰기권한을 제거하여야 한다. 이것은 다음 절차에서와 같이 레지스트리에 대한 수정을 필요로 한다: 1. 레지스트리 편집기를 연다. Windows NT 시작 메뉴에서 실행을 선택하고 regedt32를 타이핑한다. 그리고 확인을 클릭한다. 2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS 로 이동한다. 3. 보안 메뉴에서 레지스트리 키 사용권한 다이얼로그 박스가 띄워지도록 사용권한을 선택한다. 4. "Everyone - 모든 권한" 과 같은 사용권한을 모두 제거하거나 변경한다. 그리고 "모든 권한" 사용권한을 가진 모든 사용자명들을 확인하고 사용권한이 적절한지를 검토한다. 원래, 이 레지스트리 키는 다음 사용권한으로 설정되어 있다: - Administrators 그룹 : 모든 권한 (Full Control) - SYSTEM : 모든 권한 (Full Control) - Everyone : 읽기 관련 URL CVE-2001-0045 (CVE) 관련 URL 2064 (SecurityFocus) 관련 URL 5671 (ISS)