Microsoft Security Bulletin MS05-017

Message Queuing에 원격 코드 실행 취약점이 존재하며, 이 취약점 악용에 성공한 침입자는 영향을 받는 시스템을 완전히 제어할 수 있습니다.

•	기본적으로 Message Queuing 구성 요소는 영향을 받는 어떤 운영 체제 버전에도 설치되어 있지 않습니다. Message Queuing 구성 요소를 수동으로 설치하는 고객만 이 문제에 취약할 가능성이 높습니다.
•	인터넷에 MSMQ HTTP 메시지 배달만 표시하는 Message Queuing 설치는 취약하지 않습니다.
•	영향을 받은 구성 요소가 필요한 고객의 경우 최상의 방화벽 구성 방법과 표준 기본값 방화벽 구성을 이용하면 엔터프라이즈 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템에는 최소한의 포트만 열어 두는 것이 좋습니다.

Top of section

Microsoft는 다음 대안을 테스트했습니다. 이러한 대안은 취약점 자체를 해결하는 것은 아니지만 알려진 공격 경로를 차단하는 데 도움이 됩니다. 대안으로 인해 기능이 저하되는 경우에는 아래 절에 별도로 표시하였습니다.

•

방화벽에서 다음 항목을 차단합니다. • UDP 포트 135, 137, 138, 445, 1801, 3527 및 TCP 포트 135, 139, 445, 593, 1801, 2101, 2103, 2105, 2107 • 1024 이후의 포트에서 원치 않는 모든 인바운드 트래픽 • 기타 특별 구성된 RPC 포트 이들 포트는 RPC와 연결을 시작하는 데 사용됩니다. 방화벽에서 이 포트들을 차단하면 이 취약점을 악용한 방화벽 뒤의 시스템 공격을 막을 수 있습니다. 또한 원격 시스템에서 특수하게 구성된 다른 모든 RPC 포트도 차단해야 합니다. 기타 포트를 악용할 수 있는 공격을 방지하려면 인터넷으로부터의 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. RPC에서 사용하는 포트에 대한 자세한 내용은 여기 (US)를 참조하십시오.

•

필요 없는 경우 Message Queuing을 제거합니다. Message Queuing이 더 이상 필요 없는 경우 제거합니다. 제거하려면 다음과 같이 하십시오. 이 단계는 Windows XP 서비스 팩 1에만 적용됩니다. Windows 2000의 경우 제품 설명서에 포함된 절차를 따르십시오. 참고 Message Queuing을 제거하려면 특별한 권한이 필요할 수 있습니다. 자세한 내용은 다음 Message Queuing 설명서 (US)를 참조하십시오. 1. 시작을 클릭한 다음 제어판을 클릭합니다. 2. 프로그램 추가/제거를 두 번 클릭합니다. 3. 제어판의 종류별 보기에서 프로그램 추가/제거를 클릭합니다. 4. Windows 구성 요소 추가/제거를 클릭합니다. 5. Windows 구성 요소 마법사 페이지의 구성 요소에서 Message Queuing 확인란의 선택을 취소하여 Message Queuing을 제거하고 다음을 클릭합니다. 6. 화면 상의 지시에 따라 Windows 구성 요소 마법사를 완료합니다. 대안의 영향: 많은 조직에서 중요한 기능을 수행하기 위해 Message Queuing을 필요로 합니다. Message Queuing을 제거했을 경우 환경에 어떤 영향이 미치는지 잘 알지 못하는 관리자는 Message Queuing을 제거해서는 안됩니다. Message Queuing에 대한 자세한 내용은 Message Queuing 제품 설명서 (US)를 참조하십시오.

Top of section

이 취약점을 악용하면 어느 작업까지 가능합니까?
이것은 원격 코드 실행 취약점입니다. 이 취약점을 악용한 침입자는 영향을 받는 시스템에 대해 완벽한 원격 제어 권한을 얻을 수 있습니다. 이렇게 되면 침입자가 프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 모든 사용자 권한이 있는 새 계정을 만들 수도 있습니다.

취약점의 원인은 무엇입니까?
Message Queuing 구성 요소의 검사되지 않은 버퍼가 원인입니다.

Message Queuing이란 무엇입니까?
Microsoft Message Queuing은 다른 시간대에 실행 중인 응용 프로그램이 일시적으로 오프라인 상태일 수 있는 이기종 네트워크 및 시스템과 통신할 수 있는 기능입니다. 응용 프로그램은 대기열에 메시지를 전송하고 대기열에서 메시지를 읽습니다. Message Queuing은 보장된 메시지 전달, 효율적인 라우팅, 보안 및 우선 순위 기반 메시징을 제공합니다. MSMQ는 비동기 및 동기 메시징 시나리오 모두에 대한 솔루션을 구현하는 데 사용됩니다. Message Queuing에 대한 자세한 내용은 Message Queuing 제품 설명서 (US)를 참조하십시오.

어떤 Microsoft 응용 프로그램이 Message Queuing을 사용합니까?
BizTalk Server 2000 또는 BizTalk Server 2002를 설치하려면 Message Queuing을 설치해야 합니다. Message Queuing은 BizTalk Server 2004에서 사용할 수 있는 선택적 구성 요소입니다. 일부 타사 응용 프로그램에서도 Message Queuing을 사용할 수 있습니다.

침입자는 취약점을 악용하여 무엇을 할 수 있습니까?
취약점 악용에 성공한 침입자는 영향을 받는 시스템을 완전히 제어할 수 있습니다.

누가 취약점을 악용할 수 있습니까?
영향을 받는 시스템에 특수하게 만든 메시지를 보내는 모든 익명 사용자가 이 취약점을 악용할 수 있습니다.

침입자는 이러한 취약점을 어떻게 악용합니까?
침입자는 특별히 제작된 메시지를 만든 다음, 영향을 받는 시스템에 해당 메시지를 보내는 방법으로 취약점 악용을 시도할 수 있습니다. 그러면 메시지는 영향을 받는 시스템에서 코드를 실행할 수 있습니다.

취약점으로 인해 주로 공격 받을 위험이 있는 시스템은 무엇입니까?
Message Queuing을 설치한 모든 시스템이 이 취약점으로 인해 공격을 받을 위험이 있습니다. 기본적으로 Message Queuing 구성 요소는 영향을 받는 어떤 운영 체제 버전에도 설치되어 있지 않습니다. Message Queuing 구성 요소를 수동으로 설치하는 고객만 이 문제에 취약할 가능성이 높습니다.

인터넷을 통해서도 취약점을 악용할 수 있습니까?
예. 침입자는 RPC 포트를 사용하여 인터넷을 통해 이 취약점을 악용할 수 있습니다. 인터넷을 통해 사용할 수 있는 대부분의 Message Queuing 배포는 이 문제점에 취약하지 않은 MSMQ HTTP 메시지 전달 구성 요소를 사용합니다. 방화벽 구성 모범 사례와 표준 기본값 방화벽 구성을 이용하면 RPC를 사용하는 인터넷에서 발생하는 공격으로부터 네트워크를 보호할 수 있습니다. Microsoft는 PC 보호 방법에 대한 정보를 제공합니다. 최종 사용자는 PC 보호 웹 사이트를, IT 전문가는 Security Guidance Center 웹 사이트를 각각 참조하십시오.

업데이트는 어떤 기능을 합니까?
이 업데이트는 Message Queuing이 메시지를 할당된 버퍼로 전달하기 전에 메시지 길이에 대한 유효성을 검사하는 방식을 수정함으로써 취약점을 제거합니다.

이 보안 게시판을 게시했을 때 이 취약점이 공개되었습니까?
아니요. Microsoft는 신뢰할 수 있는 공개를 통해 이 취약점에 대한 정보를 받았습니다. Microsoft는 이 보안 게시판을 처음에 게시했을 때 이 취약점이 공개되었다는 정보를 받지 못했습니다.

이 보안 게시판을 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까?
아니요. Microsoft는 이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를 받지 못했으며, 이 보안 게시판을 처음에 게시했을 때 개념 코드에 대한 증거의 예를 보지 못했습니다.

Top of section

전제 조건
이 보안 업데이트를 설치하려면 Microsoft Windows XP 서비스 팩 1이 필요합니다. 자세한 내용은 Microsoft 기술 자료 문서 322389를 참조하십시오.

향후 서비스 팩에 포함될 내용:
이 문제점에 대한 업데이트는 Windows XP 서비스 팩 2에 포함되었습니다.

설치 정보

이 보안 업데이트는 다음 설치 스위치를 지원합니다.

참고 한 명령에서 이러한 스위치를 조합하여 사용할 수 있습니다. 보안 업데이트에서는 이전 버전과의 호환성을 위해 이전 버전의 설치 프로그램에서 사용하는 설치 스위치도 지원합니다. 지원되는 설치 스위치에 대한 자세한 내용은 Microsoft 기술 자료 문서 262841을 참조하십시오. Update.exe 설치 프로그램에 대한 자세한 내용은 Microsoft TechNet 웹 사이트 (US)를 방문하십시오.

배포 정보

사용자 개입 없이 보안 업데이트를 설치하려면 Microsoft Windows XP 명령 프롬프트에서 다음 명령을 사용하십시오.

Windowsxp-kb892944-x86-kor /quiet

컴퓨터를 다시 시작하지 않고 보안 업데이트를 설치하려면 Windows XP 명령 프롬프트에서 다음 명령을 사용하십시오.

Windowsxp-kb892944-x86-kor /norestart

Software Update Service로 이 보안 업데이트를 배포하는 방법에 대한 자세한 내용은 Software Update Services 웹 사이트를 참조하십시오.

다시 시작 요구 사항

이 업데이트를 적용하기 위해 다시 시작할 필요는 없습니다. 필요한 서비스를 중지할 수 없거나 필수 파일이 사용 중이면 다시 시작해야 합니다. 이러한 경우에는 다시 시작해야 한다는 메시지가 표시됩니다. 다시 시작의 필요성을 줄이려면 영향 받은 서비스를 모두 중지하고 보안 업데이트를 설치하기 전에 영향 받은 파일을 사용하는 모든 응용 프로그램을 닫으십시오. 컴퓨터를 다시 시작하라는 메시지가 나타나는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 887012를 참조하십시오.

제거 정보

이 보안 업데이트를 제거하려면 제어판의 프로그램 추가/제거도구를 사용하십시오.

또한 시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 이 보안 업데이트를 제거할 수 있습니다. Spuninst.exe 유틸리티는 %Windir%\$NTUninstallKB892944$\Spuninst 폴더에 있습니다.

파일 정보

이 보안 업데이트는 다음 표와 같은 파일 특성을 가집니다. 한국어 버전 파일의 날짜와 시간은 한국 시간을 기준으로 표시하였으며, 한국어 버전이 없는 영어 버전의 경우 UTC(Coordinated Universal Time) 형식으로 표시했습니다. 실제 설치한 파일 정보를 볼 때에는 로컬 시간으로 변환되어 표시됩니다. UTC와 로컬 시간의 차이를 확인하려면 제어판의 날짜 및 시간 도구에서 표준 시간대 탭을 사용하십시오.

Windows XP Home Edition 서비스 팩 1, Windows XP Professional 서비스 팩 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition (한국어 버전):

Windows XP 64-Bit Edition 서비스 팩 1 (Itanium) (영어 버전):

Update.exe 설치 프로그램에 대한 자세한 내용은 Microsoft TechNet 웹 사이트 (US)를 방문하십시오.

핫픽스와 같이 이 게시판에 나타나는 용어에 대한 자세한 내용은 Microsoft 기술 자료 문서 824684를 참조하십시오.

적용된 업데이트 확인

전제 조건
Windows 2000의 경우 이 보안 업데이트를 설치하려면 서비스 팩 3(SP3) 또는 서비스 팩 4(SP4)가 필요합니다. Small Business Server 2000에 이 보안 업데이트를 설치하려면 Small Business Server 2000 서비스 팩 1a 또는 Windows 2000 Server 서비스 팩 4와 함께 실행하는 Small Business Server2000이 필요합니다.

나열된 소프트웨어는 해당 버전이 영향을 받는지 여부가 테스트되었습니다. 그 밖의 다른 버전은 더 이상 보안 업데이트가 지원되지 않거나 영향을 받지 않을 수도 있습니다. 사용 중인 제품과 버전에 대한 지원 주기를 확인하려면 Microsoft 지원 주기 정책 웹 사이트를 참조하십시오.

최신 서비스 팩을 구하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 260910을 참조하십시오.

향후 서비스 팩에 포함될 내용:
이 문제점에 대한 업데이트는 향후 업데이트 롤업에 포함될 것입니다.

설치 정보

이 보안 업데이트는 다음 설치 스위치를 지원합니다.

참고 한 명령에서 이러한 스위치를 조합하여 사용할 수 있습니다. 보안 업데이트에서는 이전 버전과의 호환성을 위해 이전 버전의 설치 프로그램에서 사용하는 설치 스위치도 지원합니다. 지원되는 설치 스위치에 대한 자세한 내용은 Microsoft 기술 자료 문서 262841을 참조하십시오. Update.exe 설치 프로그램에 대한 자세한 내용은 Microsoft TechNet 웹 사이트 (US)를 방문하십시오. 핫픽스와 같이 이 게시판에 나타나는 용어에 대한 자세한 내용은 Microsoft 기술 자료 문서 824684를 참조하십시오.

배포 정보

사용자 개입 없이 보안 업데이트를 설치하려면 Windows 2000 서비스 팩 2, Windows 2000 서비스 팩 3 또는 Windows 2000 서비스 팩 4 명령 프롬프트에서 다음 명령을 사용하십시오.

Windows2000-kb892944-x86-kor /quiet

컴퓨터를 다시 시작하지 않고 보안 업데이트를 설치하려면 Windows 2000 서비스 팩 3 및 Windows 2000 서비스 팩 4 명령 프롬프트에서 다음 명령을 사용하십시오.

Windows2000-kb892944-x86-kor /norestart

Software Update Services에서 이 보안 업데이트를 배포하는 방법에 대한 자세한 내용은 Software Update Services 웹 사이트를 참조하십시오.

다시 시작 요구 사항

이 업데이트를 설치하려면 다시 시작해야 합니다. /norestart 옵션을 사용하면 업데이트 설치 후 업데이트가 다시 시작되지 않도록 합니다. 하지만 시스템이 다시 시작되기 전까지 시스템은 이 문제점에 취약한 상태로 유지됩니다.

제거 정보

이 보안 업데이트를 제거하려면 제어판의 프로그램 추가/제거도구를 사용하십시오.

또한 시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 이 보안 업데이트를 제거할 수 있습니다. Spuninst.exe 유틸리티는 %Windir%\$NTUninstallKB892944$\Spuninst 폴더에 있습니다.

파일 정보

이 보안 업데이트의 한글 버전은 다음 표의 파일 특성을 가집니다. 이러한 파일의 날짜와 시간은 UTC(Coordinated Universal Time) 형식으로 나열되며 파일 정보를 볼 때 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 확인하려면 제어판의 날짜 및 시간 도구에서 표준 시간대 탭을 사용하십시오.

Windows 2000 서비스 팩 3, Windows 2000 서비스 팩 4, Small Business Server 2000 (한국어 버전):

적용된 업데이트 확인