2007/10/11

RPC의 취약점으로 인한 서비스 거부 문제점 - 2007년 10월

2007년 10월에 발표된 취약점중, 서버측에 위험요소가 있는 취약점은 "RPC의 취약점으로 인한 서비스 거부 문제점 (933729)" 정도로 보여집니다.

그외 나머지 패치는, 사용자의 인터넷 및 소프트웨어 사용상의 취약점이므로 서버와 크게 연관되지는 않습니다.


RPC의 취약점으로 인한 서비스 거부 문제점 (933729)

RPC(원격 프로시저 호출) 기능에서 RPC 요청의 인증을 수행할 때 NTLM 보안 공급자와 통신에 실패하기 때문에 서비스 거부 취약점이 존재합니다. 익명 공격자가 특수하게 조작된 RPC 요청을 네트워크를 통해 컴퓨터에 전송하여 취약점을 악용할 수 있습니다. 취약점 악용에 성공한 공격자는 컴퓨터에서 응답을 중지하거나 다시 시작하도록 만들 수 있습니다.


임시 대응방법은 역시, 필요치 않는 포트차단이나 특정 호스트에만 접속을 허용하도록 강력한 방화벽 정책이 대안입니다.

방화벽에서 다음 항목을 차단합니다.
- UDP 포트 135번, 137번, 138번, 445번 및 TCP 포트 135번, 139번, 445번, 593번
- 1024 이후의 포트에서 원치 않는 모든 인바운드 트래픽
- 기타 특별 구성된 RPC 포트

이들 포트는 RPC와 연결을 시작하는 데 사용됩니다. 방화벽에서 이러한 포트를 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 또한 원격 시스템에서 특수하게 구성된 다른 모든 RPC 포트도 차단해야 합니다. 다른 포트를 사용하는 공격을 방지하려면 인바운드 원치 않는 인터넷 통신을 모두 차단하는 것이 좋습니다.

대안의 영향: 여러 Windows 서비스가 영향을 받는 포트를 사용합니다. 이러한 포트에 대한 연결을 차단하면 여러 응용 프로그램 또는 서비스가 작동하지 않습니다. 다음 목록은 영향을 받는 일부 응용 프로그램 또는 서비스입니다.

SMB(CIFS)를 사용하는 응용 프로그램
메일 슬롯 또는 명명된 파이프를 사용하는 응용 프로그램(RPC over SMB)
서버(파일 및 인쇄 공유)
그룹 정책
Net Logon
분산 파일 시스템(DFS)
터미널 서버 라이선스
인쇄 스풀러
컴퓨터 브라우저
원격 프로시저 호출 로케이터
팩스 서비스
인덱싱 서비스
성능 로그 및 경고
Systems Management Server
라이선스 로깅 서비스


고급 TCP/IP 필터링
http://support.microsoft.com/kb/309798

IPSec(인터넷 프로토콜 보안)
http://support.microsoft.com/kb/313190
http://support.microsoft.com/kb/813878

댓글 없음:

댓글 쓰기

가장 많이 본 글