본문바로가기 18.221.31.166
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[경보] RPCSS Service 취약점
작성일 : 2003/09/16 작성자 : 전산정보팀 조회수 : 5314

윈도우즈 운영체제의 RPCSS Service의 취약점에 대한 내용이 발표되었습니다.
윈도우즈(XP/2000/NT) 사용자들 께서는 반드시 운영체제를 패치하시고 사용하시기
바랍니다. 패치를 하지 않으실 경우 외부에서 사용자 권한을 획득하여 주요정보 누출 및
시스템 파괴등을 할 수 있는 가능성이 있습니다.

==============================================================
KA2003064 : RPCSS Service 의 버퍼 오버런으로 인한 코드 실행 문제
---------------------------------------------------------------

출      처 : http://www.microsoft.com

작  성  자 : 공재순 연구원(kong@certcc.or.kr)

----- 제목 -----

RPCSS Service 의 버퍼 오버런으로 인한 코드 실행 문제

----- 해당시스템 -----

Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server? 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

※ Microsoft Windows Millennium Edition 제외

----- 영향 -----

 이 취약점으로 인하여 공격자가 원하는 임의의 작업을 수행할 수 있다.

----- 설명 -----

DCOM 활성화에 대한 RPC 메시지를 처리하는 RPCSS 서비스 부분에서 세 가지 취약점이 확인되었다.
두 가지는 임의의 코드가 실행될 수 있으며 하나는 서비스 거부를 발생시키는 문제로
RPC(원격 프로시저 호출)은 한 프로그램에서 네트워크의 다른 컴퓨터에 있는 프로그램의 서비스를
요청하는 데 사용할 수 있는 프로토콜이다.
취약점은 Windows RPC 서비스가 잘못된 메세지를 처리하는 방식에 문제가 있어 발생하며, 이 결함은
DCOM(Distributed Component Object Model) 인터페이스에 영향을 준다.

DCOM의 동작에 필요한 RPC message를 처리하는 RPCSS Service에 대해 공격자는 잘못된 RPC 메시지를
보냄으로써 임의의 코드를 실행하여 시스템의 RPC 서비스에 장애를 일으킬 수 있고, 그 결과로 DOS공격이
일어날 수 있다.
Local System Privileges를 가진 상태에서 코드를 실행하게 되면 공격자는 system exploit이 가능해져,
프로그램을 설치하거나 데이터 수정 및 삭제등이 가능해 지고, 모든 작업을 할 수 있는 계정을 생성 할 수도 있다.

----- 해결책 -----

공격으로부터 사용자 시스템을 보호하기 위해 아래의 방법을 사용한다.

1. RPC 서비스가 꼭 필요한 경우가 아닌 경우

① 방화벽에서 135번 포트를 차단

 135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용되며, 방화벽에서 135번 포트를 차단하면 이 취약점을
  악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있다.

② 인터넷 연결 방화벽

  인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는
  경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단된다.

③ 영향 받는 모든 시스템에서 DCOM 기능을 해제한다.

 - DCOM을 수동으로 설정하거나 해제하는 내용은 아래의 사이트를 참고한다.
    http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

 - RPC에 의해 사용되어지는 포트관련 정보는 아래 사이트를 참조한다.
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp

2. RPC서비스가 필요한 경우 보안 패치된 버젼을 다운로드 받아 설치한다.

  - Windows NT Workstation 4.0
  - Windows NT Server 4.0
  - Windows NT Server 4.0, Terminal Server Edition
  - Windows 2000
  - Windows XP
  - Windows XP 64 bit Edition
  - Windows XP 64 bit Edition Version 2003
  - Windows Server 2003
  - Windows Server 2003 64 bit Edition

----- 참조사이트 -----

o 영문사이트

o 한글사이트

댓글 작성
최상단 이동 버튼