한국정보보호진흥원에서 경보가 발령되었습니다.
업데이트하시고 사용하시기 바랍니다.
==============================================================
KA2003054: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
---------------------------------------------------------------
최초작성일 : 2003-07-17
갱 신 일 :
출 처 : http://www.microsoft.com
작 성 자 : 장윤숙
----- 해당시스템 -----
Windows XP Professional
Windows 2000 Professional
window nt/2000 server
window 서버 2003
----- 영향 -----
이 취약점으로 인하여 공격자가 원하는 임의의 작업을 수행할 수 있다.
----- 설명 -----
RPC(원격 프로시저 호출)은 한 프로그램에서 네트워크의 다른 컴퓨터에 있는 프로그램의 서비스를 요청하는 데 사용할 수 있는 프로토콜이다.
취약점은 Windows RPC 서비스가 특정 환경에서 메시지 입력을 올바르게 검사하지 않기 때문에 발생하며, 이 결함은 TCP/IP의 135번 포트에서 수신
대기하는 기본 DCOM(Distributed Component Object Model) 인터페이스에 영향을 준다.
잘못된 RPC 메시지를 보냄으로써 공격자는 임의의 코드를 실행하는 방법으로 시스템의 RPC 서비스에 장애를 일으킬 수 있으며, 이 방법을 사용하여
원격 시스템에 있는 RPC와의 인터페이스에 장애를 일으킬 수도 있다.
이 취약점을 악용하려면 공격자는 특수하게 만든 요청을 원격 시스템의 135번 포트로 보낼 수 있어야 한다.
----- 해결책 -----
1. 공격으로부터 사용자 시스템을 보호하기 위해 아래의 방법을 사용한다.
① 방화벽에서 135번 포트를 차단
135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용되며, 방화벽에서 135번 포트를 차단하면 이 취약점을 악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있다.
② 인터넷 연결 방화벽
인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는 경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단된다.
③ 영향 받는 모든 시스템에서 DCOM 기능을 해제한다.
DCOM을 수동으로 설정하거나 해제하는 내용은 아래의 사이트를 참고한다.
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
2. 패치는 DCOM 인터페이스에 전달되는 정보를 적절히 검사하도록 보안 패치된 버젼을 다운로드 받아 설치한다.
o Windows NT 4.0 Server
http://download.microsoft.com/download/e/0/0/e0068fdc-811d-48d8-9003-92f0efc40bb1/KORQ823980i.EXEo Windows NT 4.0 Terminal Server Edition(영문버전)
http://download.microsoft.com/download/4/6/c/46c9c414-19ea-4268-a430-53722188d489/Q823980i.EXEo Windows 2000
http://www.microsoft.com/korea/technet/security/bulletin/
