본문바로가기 3.15.178.207

대구가톨릭대학교 DAEGU CATHOLIC UNIVERSITY 대구가톨릭대학교 DAEGU CATHOLIC UNIVERSITY

모바일 메뉴 닫기
모바일 메뉴 열기
상단배경사진

DCU광장

Community

추천검색어

검색창 닫기
메인으로
텍스트 크게 텍스트 크기 초기화 텍스트 작게 페이지 인쇄 메뉴 열기

바이러스/보안게시판

[경보] RPCSS Service 취약점
작성일 : 2003/09/16 작성자 : 전산정보팀(전산정보팀) 조회수 : 4692

윈도우즈 운영체제의 RPCSS Service의 취약점에 대한 내용이 발표되었습니다.
윈도우즈(XP/2000/NT) 사용자들 께서는 반드시 운영체제를 패치하시고 사용하시기
바랍니다. 패치를 하지 않으실 경우 외부에서 사용자 권한을 획득하여 주요정보 누출 및
시스템 파괴등을 할 수 있는 가능성이 있습니다.

==============================================================
KA2003064 : RPCSS Service 의 버퍼 오버런으로 인한 코드 실행 문제
---------------------------------------------------------------

출      처 : http://www.microsoft.com

작  성  자 : 공재순 연구원(kong@certcc.or.kr)

----- 제목 -----

RPCSS Service 의 버퍼 오버런으로 인한 코드 실행 문제

----- 해당시스템 -----

Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server? 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

※ Microsoft Windows Millennium Edition 제외

----- 영향 -----

 이 취약점으로 인하여 공격자가 원하는 임의의 작업을 수행할 수 있다.

----- 설명 -----

DCOM 활성화에 대한 RPC 메시지를 처리하는 RPCSS 서비스 부분에서 세 가지 취약점이 확인되었다.
두 가지는 임의의 코드가 실행될 수 있으며 하나는 서비스 거부를 발생시키는 문제로
RPC(원격 프로시저 호출)은 한 프로그램에서 네트워크의 다른 컴퓨터에 있는 프로그램의 서비스를
요청하는 데 사용할 수 있는 프로토콜이다.
취약점은 Windows RPC 서비스가 잘못된 메세지를 처리하는 방식에 문제가 있어 발생하며, 이 결함은
DCOM(Distributed Component Object Model) 인터페이스에 영향을 준다.

DCOM의 동작에 필요한 RPC message를 처리하는 RPCSS Service에 대해 공격자는 잘못된 RPC 메시지를
보냄으로써 임의의 코드를 실행하여 시스템의 RPC 서비스에 장애를 일으킬 수 있고, 그 결과로 DOS공격이
일어날 수 있다.
Local System Privileges를 가진 상태에서 코드를 실행하게 되면 공격자는 system exploit이 가능해져,
프로그램을 설치하거나 데이터 수정 및 삭제등이 가능해 지고, 모든 작업을 할 수 있는 계정을 생성 할 수도 있다.

----- 해결책 -----

공격으로부터 사용자 시스템을 보호하기 위해 아래의 방법을 사용한다.

1. RPC 서비스가 꼭 필요한 경우가 아닌 경우

① 방화벽에서 135번 포트를 차단

 135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용되며, 방화벽에서 135번 포트를 차단하면 이 취약점을
  악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있다.

② 인터넷 연결 방화벽

  인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는
  경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단된다.

③ 영향 받는 모든 시스템에서 DCOM 기능을 해제한다.

 - DCOM을 수동으로 설정하거나 해제하는 내용은 아래의 사이트를 참고한다.
    http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

 - RPC에 의해 사용되어지는 포트관련 정보는 아래 사이트를 참조한다.
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp

2. RPC서비스가 필요한 경우 보안 패치된 버젼을 다운로드 받아 설치한다.

  - Windows NT Workstation 4.0
  - Windows NT Server 4.0
  - Windows NT Server 4.0, Terminal Server Edition
  - Windows 2000
  - Windows XP
  - Windows XP 64 bit Edition
  - Windows XP 64 bit Edition Version 2003
  - Windows Server 2003
  - Windows Server 2003 64 bit Edition

----- 참조사이트 -----

o 영문사이트

o 한글사이트

댓글 작성
최상단 이동 버튼