English

◀◁ 뒤로 취약점ID 28006 위험도 20 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 해당 Windows 시스템은 IPC$로 Null 세션을 이용한 원격 접속을 허용한다. IPC$는 서로간에 프로세스간 통신이 가능하도록 Windows NT 컴퓨터 각각에 생성되는 공유이다. Null 세션은 신뢰 관계를 맺지 않고 브라우징을 가능하게 해 준다. Null 세션은 익명(anonymous) 로그인과 유사하여 Resource의 퍼미션과 관계없이 다음과 같은 브라우즈 리스트를 획득할 수 있도록 해 줄 수 있어 위험하다. - 사용자명 - 그룹 - 신뢰관계에 있는 도메인과 웍스테이션들 - 모든 공유 정보 (감춰진 공유 포함) Null 세션은 RestrictAnonymous 레지스트리 키 셋팅에 의해 인증된 사용자들만이 이러한 정보를 볼 수 있도록 제한될 수 있다. * 참고 사이트: http://www.pcmag.com/article2/0,4149,671696,00.asp http://www.brown.edu/Facilities/CIS/CIRT/help/netbiosnull.html http://www.iss.net/security_center/static/679.php * 영향을 받는 플랫폼: Windows NT, 2000, XP 해결책 Null 세션을 경유하여 시스템 공유 리스트의 유출을 방지하기 위해서는 인증된 사용자들만이 호스트를 액세스할 수 있도록 타이트한 로그인 정책을 운영한다든지, 혹은 몇몇 포트들 (137/tcp|udp, 138/udp, 139/tcp)에 대해 인입 트래픽을 필터해야 한다. Windows NT에서 익명 접속을 제한하기 위해서는 다음과 같이 할 수 있다 (NULL 세션 접속은 되더라도 공유, 사용자 리스트 등의 정보에 대한 질의 권한을 제거). [Windows NT] 1. 레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 로 이동한다. 2. "RestrictAnonymous" 키 값을 1로 설정한다. [Windows 2000] 1. 레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 로 이동한다. 2. "RestrictAnonymous" 키 값을 2로 설정한다. [Windows XP, 7, 8, 10] 1. 레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 위치로 이동한다. 2. "RestrictAnonymous" 키 값을 1로 설정한다. 3. "RestrictAnonymousSAM" 키 값을 1로 설정한다. 4. "EveryoneIncludesAnonymous" 키 값을 0로 설정한다. -- 그리고 -- 1. 제어판 → 관리 도구 → 로컬 보안 정책 → 로컬 정책 → 보안 옵션 으로 이동한다. 2. 다음 두 개의 정책이 "Enable" 되어 있는 지 확인한다. - 네크워크 액세스 : SAM 계정의 익명 열거 허용 안 함 - 네크워크 액세스 : SAM 계정과 공유의 익명 열거허용 안 함 3. 만약, 그렇지 않은 경우에는 두 정책을 모두 "Enable" 시킨다. * 알림 : 위의 설정이 이루어져도 null 세션을 통한 연결은 여전히 이루어진다. 그러나, 연결 후 공유나 사용자에 대한 정보 획득은 완전히 차단된다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)