English

◀◁ 뒤로 취약점ID 28061 위험도 40 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 해당 시스템에는 SNMP 레지스트리 키가 Administrators 그룹에 속해 있지 않은 사용자들에 의해 쓰기 가능하게 되어 있다. Windows NT4와 2000에 있는 SNMP 프로토콜은 관리자가 원격으로 네트워크 디바이스들을 관리할 수 있게 해 준다. SNMP Parameters 키의 위치는 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters 이다. 레지트리에 있는 SNMP Parameters 키는 Community Name과 관리 시스템의 식별자들에 관한 정보를 저장하고 있다. 불행하게도 이 정보는 모든 사용자들에 의해 읽혀질 수 있어 악의적인 사용자들이 자신을 어떤 Community에 대해서도 속해 있는 관리 시스템으로 둘 수 있게 해 준다. 키 설정은 전형적으로 관리자 권한을 가진 사용자에 의해 되지만, 디폴트 설정 에러로 인하여 아무에게나 허용된다. 이는 영향을 받는 시스템으로 로그인 가능한 사용자가 설정을 편집할 수 있게 해 준다. Parameters 키를 편집함으로써, 사용자는 스스로 관리 권한을 갖는 새로운 Community를 생성할 수 있다. 이 취약점을 성공적으로 도용하면 공격자 SNMP를 통해 관리되는 네트워크 디바이스와 자원들에 대한 완전한 제어권을 얻어낼 수 있게 해 준다. * 알림: 이 점검항목은 점검하기 위한 원격지 호스트의 레지스트리를 액세스할 수 있는 Guest 혹은 그 이상의 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 참고 사이트: http://www.microsoft.com/technet/security/bulletin/MS00-095.asp http://www.microsoft.com/technet/security/bulletin/MS00-096.asp * 영향을 받는 플랫폼: Windows NT Any version Windows 2000 Any version 해결책 다음 마이크로소프트 보안 게시물 MS00-095을 참조하여 시스템에 적절한 패치를 적용하여야 한다: http://www.microsoft.com/technet/security/bulletin/MS00-095.asp -- 혹은 -- Administrators 그룹에 있지 않은 사용자들에 대해 SNMP 레지스트리 키에 대한 쓰기권한을 제거하여야 한다. 이것은 다음 절차에서와 같이 레지스트리에 대한 수정을 필요로 한다: 1. 레지스트리 편집기를 연다. Windows 시작 메뉴에서 실행을 선택하고 regedt32를 타이핑한다. 그리고 확인을 클릭한다. 2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters 로 이동한다. 3. 보안 메뉴에서 레지스트리 키 사용권한 다이얼로그 박스가 띄워지도록 사용권한을 선택한다. 4. "Everyone - 모든 권한" 과 같은 사용권한을 모두 제거하거나 변경한다. 그리고 "모든 권한" 사용권한을 가진 모든 사용자명들을 확인하고 사용권한이 적절한지를 검토한다. 원래, 이 레지스트리 키는 다음 사용권한으로 설정되어 있다: - Administrators 그룹 : 모든 권한 (Full Control) - SYSTEM : 모든 권한 (Full Control) - Everyone : 읽기 관련 URL CVE-2001-0046 (CVE) 관련 URL 2066 (SecurityFocus) 관련 URL 5672 (ISS)