 Microsoft TechNet - 보안 > Microsoft Security Bulletin MS03-039 RPCSS 서비스의 버퍼 오버런으로 인한 코드 실행 문제처음 게시된 날짜: 2003년 9월 11일
 기술 세부 사항
이 패치에서 제공하는 픽스는 Microsoft 보안 게시판 MS03-026에 포함된 픽스를 대체합니다. 원격 프로시저 호출  (RPC)은 Windows 운영 체제에서 사용하는 프로토콜입니다. RPC를 사용하면 특정 컴퓨터에서 실행되는 프로그램에서 다른 컴퓨터의 서비스를 완벽하게 액세스할 수 있게 해주는 프로세스 간 통신(IPC) 메커니즘을 구현할 수 있습니다. 이 프로토콜은 원래 OSF(Open Software Foundation) RPC 프로토콜을 기반으로 하지만 Microsoft는 여기에 몇 가지 기능을 더 추가했습니다.
DCOM 활성화에 대한 RPC 메시지를 처리하는 RPCSS 서비스 부분에서 세 가지 취약점이 확인되었습니다. 두 가지는 임의의 코드가 실행될 수 있으며 하나는 서비스 거부를 발생시킬 수 있습니다. 이 결함은 잘못된 형식의 메시지를 처리하는 방식에 문제가 있기 때문에 발생합니다. 이러한 특정 취약점은 RPCSS 서비스 내의 DCOM(Distributed Component Object Model) 인터페이스에 영향을 미칩니다. 이 인터페이스는 한 시스템에서 다른 시스템으로 보낸 DCOM 개체 활성화 요청을 처리합니다.
이러한 취약점을 악용한 침입자는 영향을 받는 시스템에서 로컬 시스템 권한을 사용하여 코드를 실행하거나 RPCSS 서비스에 장애를 일으킬 수 있습니다. 그런 다음 침입자는 프로그램 설치, 변경 사항 보기나 데이터 삭제 또는 모든 권한을 가진 새 계정 만들기 등의 원하는 작업을 해당 시스템에서 수행할 수 있습니다.
이 취약점을 악용하기 위해 침입자는 RPCSS 서비스를 대상으로 취약점을 악용하는 프로그램을 만들어 공격에 취약한 시스템으로 특별하게 만들어진 RPC 메시지를 보낼 수 있습니다.
Microsoft는 네트워크에서 MS03-039 패치가 설치되어 있지 않은 시스템을 검색할 수 있는 도구를 출시했습니다. 이 도구에 대한 자세한 설명은 Microsoft 기술 자료 문서 827363을 참조하십시오. 이 도구는 Microsoft 기술 자료 문서 826369에서 제공하는 도구를 대체합니다. 이 게시판에서 제공하는 보안 패치를 설치한 시스템에 Microsoft 기술 자료 문서 826369에서 제공하는 도구를 사용할 경우, 이 대체된 도구는 시스템에 MS03-026에서 제공한 패치가 없다고 잘못 보고합니다. Microsoft 기술 자료 문서 827363에서 제공하는 최신 버전의 도구를 실행해야 패치를 제대로 검색할 수 있습니다.
예방 방법:
위의 등급은 이 취약점과 관련된 시스템 유형, 일반적인 배포 방법 및 취약점이 악용될 때 시스템에 미치는 영향을 근거로 평가한 것입니다. 취약점 확인: Microsoft에서는 Windows Millennium Edition, Windows NT 4.0 Server, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP 및 Windows Server 2003이 이러한 취약점으로 인해 영향을 받는지 알아보기 위해 테스트를 실시하였습니다. 이전 버전은 더 이상 지원되지 않으며, 이 취약점에 의해 영향을 받을 수도 있고 받지 않을 수도 있습니다. 자주 제기되는 질문 사항
취약점이며 세 번째는 서비스 거부 취약점입니다. 버퍼 오버런 취약점 중 하나를 성공적으로 이용한 침입자는 원격 컴퓨터를 통해 완벽한 제어 권한을 확보할 수 있습니다. 따라서 침입자는 웹 페이지를 변경하거나 하드 디스크를 다시 포맷하거나 로컬 관리자 그룹에 새로운 사용자를 추가하는 등 시스템에서 원하는 모든 작업을 수행할 수 있게 됩니다.
서비스 거부 취약점을 악용한 침입자는 RPC 서비스를 중단시키거나 서비스가 응답하지 않도록 할 수 있습니다.
이러한 공격을 수행하려면 침입자는 특별하게 만들어진 메시지를 RPCSS 서비스에 보낼 수 있어야 하며 이렇게 함으로써 임의의 코드를 실행하는 방법으로 대상 시스템에 장애를 일으킬 수 있습니다.
취약점의 원인은?취약점은 Windows RPCSS 서비스가 특정 환경에서 메시지 입력을 올바르게 검사하지 않기 때문에 발생합니다. 연결된 후에 침입자는 특수하게 만든 잘못된 RPC 메시지를 보내 임의의 코드를 실행하는 방법으로 원격 시스템의 RPCSS 서비스에서 기본 DCOM(Distributed Component Object Model) 활성화 인프라에 장애를 일으킬 수 있습니다.
DCOM이란?DCOM(Distributed Component Object Model)은 소프트웨어 구성 요소가 네트워크를 통해 직접 통신하게 해주는 프로토콜입니다. 이전에는 "네트워크 OLE"라고 했던 DCOM은 HTTP와 같은 인터넷 프로토콜을 포함하여 여러 네트워크 전송에 사용하도록 설계되었습니다. DCOM에 대한 자세한 내용은 다음 웹 사이트를 참조하십시오.http://www.microsoft.com/com/tech/dcom.asp RPC(원격 프로시저 호출)란 무엇입니까?원격 프로시저 호출(RPC)은 한 프로그램에서 네트워크의 다른 컴퓨터에 있는 프로그램의 서비스를 요청하는 데 사용할 수 있는 프로토콜입니다. RPC를 사용하는 프로그램은 통신을 지원하는 네트워크 프로토콜을 파악할 필요가 없기 때문에 더욱 효과적으로 상호 운용할 수 있습니다. RPC에서 요청을 보내는 프로그램은 클라이언트가 되며 서비스를 제공하는 프로그램은 서버가 됩니다.
COM 인터넷 서비스(CIS) 및 HTTP를 통한 RPC란 무엇입니까?HTTP 을 통한 RPC v1(Windows NT 4.0, Windows 2000) 및 v2(Windows XP, Windows Server 2003)는 RPC가 TCP 80번 및 443번 포트(v2만 해당)를 통해 작동할 수 있는 새로운 RPC 전송 프로토콜을 지원합니다. 따라서 대부분의 프록시 서버 및 방화벽 환경에서 클라이언트와 서버가 서로 통신할 수 있습니다. COM 인터넷 서비스(CIS)는 DCOM이 HTTP를 통한 RPC를 사용하여 DCOM 클라이언트와 DCOM 서버 간에 서로 통신할 수 있도록 합니다.
Windows Server 2003용 "HTTP를 통한 RPC"에 대한 자세한 내용은 다음 URL을 참조하십시오.http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/remote_procedure_calls_using_rpc_over_http.asp COM 인터넷 서비스(CIS)에 대한 자세한 내용은 다음 URL을 참조하십시오.http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dndcom/html/cis.asp COM 인터넷 서비스(CIS) 또는 HTTP를 통한 RPC가 설치되었는지 어떻게 알 수 있습니까?서버에 COM 인터넷 서비스 또는 HTTP를 통한 RPC가 설치되었는지 확인하려면 다음 단계를 수행하십시오.
하드 디스크 크기에 따라 검색하는 데 몇 분 정도 걸릴 수 있습니다. RPCSS 서비스에 어떤 문제가 있습니까?DCOM 활성화를 처리하는 RPCSS 서비스에 결함이 있습니다. 이 결함은 잘못된 형식의 메시지를 처리하는 방식에 문제가 있기 때문에 발생합니다. 이 결함은 UDP 135번, 137번, 138번, 445번 및 TCP 135번, 139번, 445번, 593번 포트에서 수신 대기하는 DCOM 활성화에 사용되는 기본 RPCSS 서비스에 영향을 줍니다. CIS 또는 HTTP를 통한 RPC가 활성화된 경우에는 80번과 443번 포트에서도 수신 대기할 수 있습니다. 특별하게 조작된 RPC 메시지를 보냄으로써 침입자는 임의의 코드를 실행하는 방법으로 시스템의 RPCSS 서비스에 장애를 일으킬 수 있습니다. 이 결함이 RPC 종점 매퍼의 문제입니까?아닙니다. RPC 종점 매퍼가 RPCSS 서비스를 DCOM 인프라와 공유하지만 결함은 실제적으로 DCOM 활성화 인프라에서 발생합니다. RPC 클라이언트에서는 RPC 종점 매퍼를 사용하여 현재 특정 RPC 서비스에 할당된 포트 번호를 파악할 수 있습니다. 종점은 호스트 시스템의 서비스에 대한 프로토콜에 고유한 식별자입니다. TCP 또는 UDP 같은 프로토콜의 경우 포트가 종점입니다. 명명된 파이프의 경우에는 명명된 파이프 이름이 종점입니다. 다른 프로토콜은 해당 프로토콜에 고유한 종점을 사용합니다. 침입자는 이러한 취약점을 악용하여 어떤 작업을 할 수 있습니까?버퍼 오버런의 취약점을 악용한 침입자는 영향을 받는 시스템에서 로컬 시스템 권한을 사용하여 코드를 실행할 수 있습니다. 침입자는 프로그램 설치, 변경 사항 보기나 데이터 삭제 또는 모든 권한을 가진 새 계정 만들기 등의 원하는 작업을 해당 시스템에서 수행할 수 있습니다. 서비스 거부 취약점을 악용한 침입자는 RPCSS 서비스를 중단시키거나 서비스가 응답하지 않도록 할 수 있습니다. 침입자는 어떤 방식으로 이러한 취약점을 악용할 수 있습니까?침입자는 영향을 받는 TCP/UDP 포트를 통해 공격에 취약한 서버와 통신할 수 있는 프로그램을 만들어 특정 종류의 조작된 RPC 메시지를 보내는 방법으로 이러한 취약점을 악용할 수 있습니다. 이러한 메시지를 받으면 임의의 코드를 실행하는 방법으로 공격에 취약한 시스템의 RPCSS 서비스에 장애를 일으킬 수 있습니다. 또한 시스템에 대화형으로 로그온하는 다른 방법을 사용하거나 로컬 또는 원격으로 공격에 취약한 구성 요소에 매개 변수를 전달하는 다른 응용 프로그램을 사용하여 영향을 받는 구성 요소에 액세스할 수도 있습니다. 누가 취약점을 악용할 수 있습니까?영향 받는 시스템의 RPCSS 서비스에 특별히 조작된 RPC 메시지를 전달할 수 있는 사용자는 이러한 취약점을 악용할 수 있습니다. RPCSS 서비스는 기본적으로 모든 Windows 버전에서 사용되기 때문에 사실상 영향 받는 시스템에 연결할 수 있는 모든 사용자는 취약점을 악용할 수 있다고 볼 수 있습니다. 이제는 지원이 중단된 Microsoft Windows NT 4.0 Workstation을 사용하고 있습니다. 그러나 이 게시판에는 패치가 있습니다. 그 이유는 무엇입니까?이전에 문서로 발표된 바와 같이 Windows NT 4.0 Workstation의 지원 주기가 끝났으며 일반적인 경우 Microsoft는 패치를 제공하지 않습니다. 그러나 이번 취약점의 특성, 지원 기간이 최근에 종료되었다는 점, 현재 사용중인 Windows NT 4.0 Workstation의 수를 고려하여 Microsoft는 이 취약점에 대해 예외를 인정하기로 결정했습니다. 향후 취약점에 대해 패치를 제공하지 않을 예정이지만 필요한 경우 패치를 만들어 제공할 수 있습니다. 향후 취약점에 노출되지 않도록 Windows NT 4.0 Workstation을 사용하는 고객은 우선적으로 지원되는 플랫폼으로 마이그레이션해야 합니다. Windows 데스크톱 제품 지원 주기에 대한 자세한 내용은 다음 웹 사이트를 참조하십시오. http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx 이제는 지원이 중단된 Microsoft Windows 2000 서비스 팩 2를 사용하고 있습니다. 그러나 이 게시판에는 서비스 팩 2에 설치되는 패치가 있습니다. 그 이유는 무엇입니까?이전에 문서로 발표된 바와 같이 Windows 2000 서비스 팩 2의 지원 주기가 끝났으며 일반적인 경우 Microsoft는 패치를 제공하지 않습니다. 그러나 지원 주기가 매우 최근에 만료되었으며 많은 고객들이 Windows 2000 서비스 팩 2를 사용하고 있다는 사실과 이 취약점의 특성을 고려하여 Microsoft는 이 취약점에 대해 예외를 인정하기로 결정했습니다.향후 취약점에 대해 패치를 제공하지 않을 예정이지만 필요한 경우 패치를 만들어 제공할 수 있습니다. 향후 취약점에 노출되지 않도록 Windows 2000 서비스 팩 2 시스템을 사용하는 고객은 우선적으로 지원되는 플랫폼으로 마이그레이션해야 합니다. Windows 데스크톱 제품 지원 주기에 대한 자세한 내용은 다음 웹 사이트를 참조하십시오. http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx 네트워크에서 MS03-039 패치가 설치되지 않은 시스템을 검색하는 데 사용할 수 있는 도구가 있습니까?Microsoft는 네트워크에서 MS03-039 패치가 설치되어 있지 않은 시스템을 검색할 수 있는 도구를 출시했습니다. 이 도구에 대한 자세한 설명은 Microsoft 기술 자료 문서 827363을 참조하십시오.
패치는 어떤 기능을 합니까?패치는 DCOM 인터페이스에 전달되는 정보를 적절히 검사하도록 DCOM 구현을 변경하여 취약점을 해결합니다.
대안으로 사용할 수 있는 방법: 패치를 테스트하고 평가하는 동안 취약점이 악용되는 것을 방지할 수 있는 방법이 있습니까?예. 모든 고객이 가능한 한 빠른 시일 내에 패치를 적용하는 것이 가장 좋지만 그 사이에 취약점이 악용될 수 있으므로 이를 방지하기 위해 적용할 수 있는 몇 가지 해결 방안이 있습니다. 이 해결 방법이 가능한 모든 공격 방법을 차단한다는 보장은 없습니다.
반드시 명심해야 할 것은 이러한 대안은 임시적 방편일 뿐이며 취약점 자체를 수정하지 않고 단지 공격 경로를 차단하기만 합니다.
(한글 제품은 64비트가 출시되지 않았습니다.)
이 패치에 관한 추가 정보
이 패치는 다음을 실행하는 시스템에 설치할 수 있습니다. 이 문제점에 대한 픽스는 Windows 2000 서비스 팩 5, Windows XP 서비스 팩 2 및 Windows Server 2003 서비스 팩 1에 포함될 것입니다. 재부팅 필요성: 필요 패치 제거 가능성: 제거할 수 있음 대체 패치: 이 패치에서 제공하는 픽스는 Microsoft 보안 게시판 MS03-026 및 MS01-048에 포함된 픽스를 대체합니다. 패치 설치 확인:
, NSFOCUS Security Team 및 Tenable Network Security 의 Xue Yong Zhi님과 Renaud Deraison 님께 감사드립니다
Microsoft 기술 자료에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실이나 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 주에서는 파생적 또는 부수적 손해에 대한 책임의 배제나 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다. 개정판: 최종 수정일 : 2005년 8월 18일 | |||||||||||||||||||||||||||||||||||||