English

◀◁ 뒤로 취약점ID 28024 위험도 30 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 Netbios 포트가 외부에 오픈되어 있는 경우 NULL 세션을 이용하여 해당 Windows 시스템은 IPC$로 Null 세션을 이용한 원격 접속을 허용하며 이 세션을 통해 Windows 시스템 내의 모든 사용자명들을 볼 수 있다. 사용자명은 Brute Force 공격에 사용될 수 있는 위험한 정보이다. Null 세션은 신뢰 관계를 맺지 않고 브라우징을 가능하게 해 준다. Null 세션은 익명(anonymous) 로그인과 유사하여 Resource의 퍼미션과 관계없이 다음과 같은 브라우즈 리스트를 획득할 수 있도록 해 준다. - 사용자명 - 그룹 - 신뢰관계에 있는 도메인과 웍스테이션들 - 모든 공유 정보 (감춰진 공유 포함) * 참고 사이트: http://www.iss.net/security_center/static/171.php http://support.microsoft.com/support/kb/articles/q246/2/61.asp http://support.microsoft.com/support/kb/articles/q143/4/74.asp * 영향을 받는 플랫폼: Windows NT, 2000, XP, 2003 Null 세션은 RestrictAnonymous 레지스트리 키 셋팅에 의해 인증된 사용자들만이 이러한 정보를 볼 수 있도록 제한될 수 있다. 해결책 Null 세션을 경유하여 시스템 공유 리스트의 유출을 방지하기 위해서는 인증된 사용자들만이 호스트를 액세스할 수 있도록 타이트한 로그인 정책을 운영한다든지, 혹은 몇몇 포트들 (137/tcp|udp, 138/udp, 139/tcp)에 대해 인입 트래픽을 필터해야 한다. Windows NT에서 익명 접속을 제한하기 위해서는 다음과 같이 할 수 있다 (NULL 세션 접속은 되더라도 공유, 사용자 리스트 등의 정보에 대한 질의 권한을 제거). 윈도우즈 NT의 경우: 1. 레지스트리 편집기를 오픈하고 Windows NT '시작' 메뉴에서 '실행'을 선택한다. regedt32를 타이프한다. 2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 로 이동한다. 3. "RestrictAnonymous" 키를 더블 클릭하고 데이타 필드에 1을 입력한다. 4. "LMCompatibilityLevel" 키를 더블 클릭하고 데이타 필드에 0을 입력한다. 5. 레지스트리 편집기를 닫고 변경된 내용들을 적용하기 위해 시스템을 리부팅한다. 윈도우즈 2000, 2003의 경우: 1. 레지스트리 편집기를 오픈하고 '시작' 메뉴에서 '실행'을 선택한다. regedt32를 타이프한다. 2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 로 이동한다. 3. "RestrictAnonymous" 키를 더블 클릭하고 데이터 필드에 2를 입력한다. 4. "LMCompatibilityLevel" 키를 더블 클릭하고 데이타 필드에 0을 입력한다. 5. 레지스트리 편집기를 닫고 변경된 내용들을 적용하기 위해 시스템을 리부팅한다. Windows XP: 1. 시작 -> 실행에서 regedt32를 타이프한다. 2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 로 이동한다. 3. "RestrictAnonymous" 키를 더블 클릭하고 데이타 필드에 2를 입력한다. 4. 레지스트리 편집기를 닫고 변경된 내용들을 적용하기 위해 시스템을 리부팅한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)