English

◀◁ 뒤로 취약점ID 28056 위험도 40 포트 135,139,445,593 프로토콜 TCP 분류 SMB 상세설명 해당 시스템은 RPC 인터페이스의 버퍼 오버플로우 취약점(2)에 취약하다. 이 취약점은 'MSBlast' (혹은 Welchia, Nachi, LoveSan)에 의해 도용된 결함을 교정한 마이크로소프트 보안 게시물 MS03-026에 설명된 것과 같은 결함이 원인이 아니다. 이 취약점은 MS03-026에 설명된 결함과 비교해서 성격과 범위 면에서 유사하다. RPC(Remote Procedure Call)는 특정 컴퓨터 상의 프로그램에서 원격지 시스템의 코드를 실행할 수 있게 해주는 프로세스간 통신(IPC) 메커니즘을 구현하기 위한 Windows 운영체제 프로토콜이다. 그러나, Windows RPC 서비스에는 TCP/UDP 135 포트 상의 DCOM RCP 인터페이스를 통해 도용될 수 있는 버퍼 오버플로우 취약점이 존재한다. 이 버퍼 오버플로우는 Windows RPC 서비스가 특정 환경에서 메시지 입력을 올바르게 검사하지 못하는 데 그 원인이 있다. 이 취약점을 도용하기 위해, 원격지 공격자들은 잘 조작된 요청(request)을 원격지 시스템의 135번 포트에 전달한다. 그 결과, 버퍼 오버플로우가 발생하게 되고 원격지 공격자들은 원격지 시스템에 대한 완전한 제어권을 획득할 수 있다. 제어권을 획득한 공격자는 웹 페이지의 변경, 하드 디스크 포맷 또는 로컬 관리자 그룹에 사용자 추가 등의 원하는 작업을 수행할 수 있다. 이 취약점은 TCP 139,135,445,593과 같은 RCP Endpoint Mapper가 사용하는 또 다른 포트를 통해서도 도용될 수 있다. * 참고 사이트: http://www.microsoft.com/technet/security/bulletin/MS03-039.asp * 영향을 받는 플랫폼: Windows NT 4.0 Any version Windows 2000 Any version Windows XP Any version Windows Server 2003 Any version 해결책 다음 마이크로소프트의 보안 게시판 MS03-039를 참조하여 시스템에 적절한 패치를 적용하여야 한다: http://www.microsoft.com/technet/security/bulletin/ms03-039.asp -- 혹은 -- 윈도우즈 플랫폼들을 위한 패치들은 또한 Microsoft Windows Update 웹 사이트인 http://windowsupdate.microsoft.com 에서도 구할 수 있다. Windows Update는 사용중인 윈도우즈의 버전을 자동으로 찾아내고 적절한 패치를 제공해 준다. 임시 조치방법들: 방화벽에서 135(139,445,593)번 포트를 차단하거나 Windows XP 또는 Windows Server 2003의 경우, 기본적으로 인터넷의 inbound RPC 트래픽을 차단해 주는 인터넷의 연결 방화벽을 사용한다. -- 혹은 -- 영향 받는 모든 시스템에서 DCOM 기능을 해제한다. 1. 시작 메뉴의 실행을 통해 Dcomcnfg.exe를 실행한다. Windows XP 또는 Windows Server 2003을 실행하는 경우, 다음과 같은 추가 단계를 수행한다. 1) 콘솔 루트에서 구성 요소 서비스 노드를 클릭하고 컴퓨터 하위 폴더를 연다. 2) 로컬 컴퓨터인 경우 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 선택한다. 3) 원격 컴퓨터인 경우 컴퓨터 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 컴퓨터를 클릭한다. 컴퓨터 이름을 입력한 후 해당 컴퓨터 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택한다. 2. <기본 등록 정보> 탭을 선택한 후 "이 컴퓨터에서 DCOM 사용" 체크박스를 해제한다. 만약, DCOM 기능을 해제하게 되면 컴퓨터 개체간의 모든 통신이 불가능하며, 원격 컴퓨터의 DCOM 기능을 해제한 후 다시 설정할 경우, 해당 컴퓨터에 원격으로 액세스하지 못할 수도 있다. DCOM을 다시 설정하려면 해당 컴퓨터에 실제로 액세스해야 한다. 관련 URL CVE-2003-0715,CVE-2003-0528,CVE-2003-0605 (CVE) 관련 URL 8458 (SecurityFocus) 관련 URL 13129 (ISS)