Microsoft Security Bulletin MS03-049

워크스테이션 서비스의 버퍼 오버런으로 인한 코드 실행 문제(828749)

요약

이 내용을 읽어야 할 사람: Microsoft Windows를 사용하는 고객

취약점으로 인한 영향: 원격 코드 실행

최대 위험 등급: 긴급

권장 사항: 시스템 관리자는 즉시 업데이트를 적용해야 합니다.

대체 보안 업데이트: 없음

주의 사항: 없음

테스트된 소프트웨어 및 보안 업데이트 다운로드 위치:

영향을 받는 소프트웨어

• Microsoft Windows 2000 서비스 팩 2, 서비스 팩 3, 서비스 팩 4 – 업데이트 다운로드
• Microsoft Windows XP Gold 서비스 팩 1 – 업데이트 다운로드
• Microsoft Windows XP 64-Bit Edition Gold 서비스 팩 1 – 업데이트 다운로드

참고: Security Bulletin MS03-043 (828035)의 일부로 릴리스된 Windows XP 보안 업데이트에는 이 취약점을 제거하는 데 도움이되는 업데이트 파일이 들어 있습니다. MS03-043 (828035)의 Windows XP 보안 업데이트를 이미 적용한 경우에는 이 업데이트를 다시 적용하지 않아도 됩니다. 그러나 이 보안 게시판의 일부로 릴리스된 Windows 2000 보안 업데이트에는 MS03-043 (828035) 보안 게시판에 포함되지 않은 업데이트 파일이 들어 있으므로 고객은 MS03-043 (828035)의 Windows 2000 보안 업데이트를 적용했더라도 이 Windows 2000 보안 업데이트를 다시 적용해야 합니다.

영향을 받지 않는 소프트웨어

• Microsoft Windows NT Workstation 4.0 서비스 팩 6a
• Microsoft Windows NT Server 4.0 서비스 팩 6a
• Microsoft Windows NT Server 4.0, Terminal Server Edition 서비스 팩 6
• Microsoft Windows Millennium Edition
• Microsoft Windows XP 64 bit Edition Version 2003
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 64-Bit Edition

위에 나열된 소프트웨어는 해당 버전이 영향을 받는지 확인하기 위해 테스트되었습니다. 그밖의 다른 버전은 더 이상 지원되지 않으며 영향을 받을 수도 있고 받지 않을 수도 있습니다.

기술 세부 사항

기술적 설명:

워크스테이션 서비스에는 영향 받는 시스템에서 원격 코드가 무단으로 실행될 수 있는 보안 취약점이 있습니다. 이 취약점은 워크스테이션 서비스의 검사되지 않은 버퍼로 인해 발생합니다.

악용할 경우 침입자는 영향 받는 시스템에 대한 시스템 권한을 얻거나 워크스테이션 서비스에 장애를 일으킬 수 있습니다. 이 경우 침입자는 프로그램 설치, 데이터 보기, 변경 또는 삭제, 모든 권한을 가진 새 계정 만들기 등 원하는 모든 작업을 해당 시스템에서 수행할 수 있습니다.

예방 방법:

• 방화벽을 사용하여 인바운드 UDP 포트 138, 139, 445 및 TCP 포트 138, 139, 445를 차단하면 침입자가 워크스테이션 서비스에 메시지를 보낼 수 없습니다. Windows XP의 인터넷 연결 방화벽을 비롯한 대부분의 방화벽은 이러한 포트를 기본적으로 차단합니다.
• 워크스테이션 서비스 기능을 해제하면 공격을 받지 않습니다. 그러나 이 방법을 사용하는 경우에는 몇 가지 부가적인 문제가 발생합니다. 자세한 내용은 해결 방법 섹션을 참조하십시오.
• Windows 2000과 Window XP만 영향을 받으며 다른 운영 체제는 이 공격에 취약하지 않습니다.

위험 등급:

Microsoft Windows 2000	긴급
Microsoft Windows XP	긴급

위의 등급이 취약점과 관련된 시스템 유형, 일반적인 배포 방법 및 취약점이 악용될 때 시스템에 미치는 영향을 근거로 평가한 것입니다.

취약점 확인: CAN-2003-0812 

해결 방법

Microsoft는 다음 해결 방법을 테스트했습니다. 이러한 해결 방법은 기본 취약점을 해결하지 않지만 알려진 공격 방법을 차단할 수 있습니다. 이러한 해결 방법을 적용하면 아래에 설명된 상황에서는 기능이 저하될 수 있습니다.

1. 방화벽에서 UDP 포트 138, 139, 445 및 TCP 포트 138, 139, 445 차단합니다.
   이러한 포트는 원격 컴퓨터에서 RPC(원격 프로시저 호출) 연결을 허용하는 데 사용됩니다. 방화벽에서 이들 포트를 차단하면 이 취약점을 악용하여 방화벽으로 보호되는 시스템이 공격 받는 것을 예방할 수 있습니다.
2. 인터넷 연결 방화벽(Windows XP) 같은 개인 방화벽을 사용합니다.
Windows XP의 인터넷 연결 방화벽을 사용하여 인터넷 연결을 보호하면 인터넷이나 인트라넷의 모든 인바운드 트래픽이 기본적으로 차단됩니다.
네트워크 설치 마법사를 사용하여 인터넷 연결 방화벽 기능을 설정하려면
1. 시작을 클릭한 다음 제어판을 클릭합니다.
2. 제어판의 종류별 보기에서 네트워크 및 인터넷 연결을 클릭한 다음 설정 을 클릭하거나 홈 네트워크 또는 소규모 네트워크를 변경하십시오. 네트워크 설치 마법사에서 컴퓨터가 인터넷에 직접 연결되었음을 나타내는 구성을 선택하면 인터넷 연결 방화벽이 설정됩니다.
연결에 대해 인터넷 연결 방화벽을 수동으로 구성하려면
1. 시작을 클릭한 다음 제어판을 클릭합니다.
2. 제어판의 종류별 보기에서 네트워크 및 인터넷 연결을 클릭한 다음 네트워크 연결을 클릭합니다.
3. 인터넷 연결 방화벽을 설정할 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
4. 고급 탭을 클릭합니다.
5. 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택한 다음 확인을 클릭합니다.

참고: 방화벽을 통해 일부 응용 프로그램 및 서비스를 사용하려면 고급 탭에서 설정을 클릭한 다음 원하는 프로그램, 프로토콜 및 서비스를 선택합니다.

• Windows 2000 기반 시스템 및 Windows XP 기반 시스템에서 고급 TCP/IP 필터링을 설정합니다.
  고급 TCP/IP 필터링을 설정하면 원치 않는 모든 인바운드 트래픽을 차단할 수 있습니다. TCP/IP 필터링을 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료에서 다음 문서를 참조하십시오.

309798 HOW TO: Windows 2000에서 TCP/IP 필터링 구성

• 워크스테이션 서비스를 해제합니다.
워크스테이션 서비스를 해제하면 공격을 예방할 수 있습니다. Windows XP에서 워크스테이션 서비스를 해제하려면
1. 시작을 클릭한 다음 제어판을 클릭합니다.
2. 제어판에서 성능 및 유지 관리를 클릭합니다.
3. 관리 도구를 클릭합니다.
4. 서비스를 두 번 클릭합니다.
5. 워크스테이션을 두 번 클릭합니다.
6. 일반 탭의 시작 유형 목록에서 사용 안 함을 클릭합니다.
7. 서비스 상태에서 중지를 클릭한 다음 확인을 클릭합니다.
Windows 2000에서 워크스테이션 서비스를 해제하려면,
1. 시작을 클릭하고 설정을 가리킨 다음 제어판을 클릭합니다.
2. 관리 도구를 두 번 클릭합니다.
3. 서비스를 두 번 클릭합니다.
4. 워크스테이션을 두 번 클릭합니다.
5. 일반 탭의 시작 유형 목록에서 사용 안 함을 클릭합니다.
6. 서비스 상태에서 중지를 클릭한 다음 확인을 클릭합니다.
해결 방법의 영향: 워크스테이션 서비스를 해제하면 시스템에서는 네트워크의 모든 공유 파일 리소스나 공유 인쇄 리소스에 연결할 수 없습니다. 따라서 이 해결 방법은 대부분의 홈 시스템 같이 네트워크에 연결하지 않는 독립 실행형 시스템에만 사용해야 합니다. 워크스테이션 서비스가 해제되면 명시적으로 워크스테이션 서비스를 사용하는 모든 서비스가 시작되지 않으며 시스템 이벤트 로그에 오류 메시지가 기록됩니다. 워크스테이션 서비스를 사용하는 서비스는 다음과 같습니다.
• 경고 서비스
• 찾아보기 서비스
• 메신저 서비스
• Net Logon 서비스
• RPC Locator 서비스
이러한 서비스는 네트워크 리소스에 액세스하고 도메인 인증을 수행하는 데 필요합니다. 사용자가 전화 접속 연결, DSL 연결 또는 케이블 모뎀 연결을 사용하는 독립 실행형 시스템에서의 인터넷 연결 및 찾아보기는 이러한 서비스가 해제되어도 영향을 받지 않습니다.
Note: The Microsoft Baseline Security Analyzer will not function if the Workstation service is disabled. It is possible that other applications may also require the Workstation service. If an application requires the Workstation service, simply re-enable the service. This can be performed by changing the Startup Type for the Workstaion service back to Automatic and restarting the system.

자주 제기되는 질문 사항

이 취약점을 악용하면 어느 작업까지 가능합니까?
이것은 버퍼 오버런(buffer overrun)  취약점입니다. 이러한 취약점을 악용한 침입자는 영향 받는 시스템에서 시스템 권한을 사용하여 원격 코드를 실행하거나 워크스테이션 서비스에 장애를 일으킬 수 있습니다. 그런 다음 프로그램 설치, 데이터 보기, 변경 또는 삭제, 모든 권한을 가진 새 계정 만들기 등 원하는 모든 작업을 해당 시스템에서 수행할 수 있습니다.

취약점의 원인은 무엇입니까?
이 취약점은 워크스테이션 서비스 내의 검사되지 않은 버퍼로 인해 발생합니다.

워크스테이션 서비스란 무엇입니까?
로컬 파일 시스템 요청과 원격 파일 또는 인쇄 네트워크 요청은 모두 워크스테이션을 통해 라우팅됩니다. 이 서비스는 리소스의 위치를 파악한 다음 요청을 로컬 파일 시스템이나 네트워킹 구성 요소로 라우팅합니다. 워크스테이션 서비스가 중지되면 모든 요청은 로컬 요청으로 간주됩니다. Windows 네트워킹 아키텍처에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오. http://www.microsoft.com/technet/prodtechnol/winntas/reskit/net/chptr1.asp 

침입자는 이러한 취약점을 악용하여 어떤 작업을 할 수 있습니까?
이 취약점을 악용한 침입자는 영향 받는 시스템에서 시스템 권한을 사용하여 코드를 실행하거나 워크스테이션 서비스에 장애를 일으킬 수 있습니다. 그런 다음 프로그램 설치, 데이터 보기, 변경 또는 삭제, 모든 권한을 가진 새 계정 만들기 등 원하는 모든 작업을 해당 시스템에서 수행할 수 있습니다.

누가 취약점을 악용할 수 있습니까?
영향 받는 시스템의 워크스테이션 서비스에 잘못된 메시지를 보낼 수 있는 모든 익명 사용자가 이 취약점을 악용할 수 있습니다. 워크스테이션 서비스는 기본적으로 모든 Windows 버전에서 사용되기 때문에 영향 받는 시스템에 연결할 수 있는 모든 사용자가 이 취약점을 악용할 수 있다고 볼 수 있습니다.

침입자는 이러한 취약점을 어떻게 악용합니까?
침입자는 특수하게 네트워크 메시지를 만든 다음 영향 받는 시스템의 워크스테이션 서비스에 해당 메시지를 보내는 방법으로 이 취약점을 악용할 수 있습니다. 이러한 메시지를 받으면 공격에 취약한 시스템의 워크스테이션 서비스에 장애가 발생하여 원치 않는 코드가 실행될 수 있습니다.

또한 침입자는 시스템에 대화형으로 로그온하는 다른 방법을 사용하거나 로컬 또는 원격으로 공격에 취약한 구성 요소에 매개 변수를 전달하는 다른 응용 프로그램을 사용하여 영향 받는 구성 요소에 액세스할 수도 있습니다.

업데이트는 어떤 기능을 합니까?
이 업데이트는 워크스테이션 서비스가 메시지를 할당된 버퍼로 전달하기 전에 메시지의 길이를 제대로 검사할 수 있도록 하여 취약점을 제거합니다.

Windows XP 업데이트에서 MS03-043 보안 게시판을 참조하는 이유는 무엇입니까?
Security Bulletin MS03-043 (828035)의 일부로 릴리스된 Windows XP 보안 업데이트에는 이 취약점을 제거하는 데 도움이되는 업데이트 파일이 들어 있습니다. MS03-043 (828035)의 Windows XP 보안 업데이트를 이미 적용한 경우에는 이 업데이트를 다시 적용하지 않아도 됩니다. 그러나 이 보안 게시판의 일부로 릴리스된 Windows 2000 보안 업데이트에는 MS03-043 (828035) 보안 게시판에 포함되지 않은 업데이트 파일이 들어 있으므로 고객은 MS03-043 (828035)의 Windows 2000 보안 업데이트를 적용했더라도 이 Windows 2000 보안 업데이트를 다시 적용해야 합니다.

보안 업데이트 정보

설치 플랫폼과 전제 조건:

사용 중인 플랫폼에 맞는 보안 업데이트에 대한 내용을 보려면 적절한 링크를 누르십시오.

Windows XP(모든 버전)

참고: : Security Bulletin MS03-043 (828035)의 일부로 릴리스된 Windows XP 보안 업데이트에는 이 취약점을 제거하는 데 도움이되는 업데이트 파일이 들어 있습니다. MS03-043 (828035)의 Windows XP 보안 업데이트를 이미 적용한 경우에는 이 업데이트를 다시 적용하지 않아도 됩니다. 그러나 이 보안 게시판의 일부로 릴리스된 Windows 2000 보안 업데이트에는 MS03-043 (828035) 보안 게시판에 포함되지 않은 업데이트 파일이 들어 있으므로 고객은 MS03-043 (828035)의 Windows 2000 보안 업데이트를 적용했더라도 이 Windows 2000 보안 업데이트를 다시 적용해야 합니다.

Windows XP 보안 업데이트에 대한 자세한 내용은 MS03-043 보안 게시판을 참조하십시오.

Windows 2000(모든 버전)

전제 조건

Windows 2000의 경우 이 보안 업데이트를 설치하려면 서비스 팩 2(SP2), 서비스 팩 3(SP3) 또는 서비스 팩 4(SP4)가 필요합니다.

Windows 데스크톱 제품 지원 주기에 대한 내용은 다음 Microsoft 웹 사이트를 참조하십시오. http://www.microsoft.com/korea/windows/lifecycle/desktop/business/components.asp

자세한 내용은 다음 문서를 참조하십시오.
260910 최신 Windows 2000 서비스 팩을 구하는 방법

향후 서비스 팩에 포함될 내용:
이 문제점에 대한 수정 프로그램은 Windows 2000 서비스 팩 5에 포함될 것입니다.

설치 정보

이 보안 업데이트는 다음 설치 스위치를 지원합니다.

/help 명령줄 옵션을 표시합니다.

설치 모드

/quiet 자동 모드(사용자 개입 및 표시 내용 없음)
/passive 무인 모드(진행률 표시줄만 표시)
/uninstall 패키지를 제거합니다.

다시 시작 옵션

/norestart 설치가 완료되면 다시 시작하지 않습니다.
/forcerestart 설치 후에 다시 시작합니다.

특수 옵션

/l 설치된 Windows 핫픽스 또는 업데이트 패키지를 표시합니다.
/o 확인하지 않고 OEM 파일을 덮어씁니다.
/n 제거할 파일을 백업하지 않습니다.
/f 컴퓨터를 종료할 때 다른 프로그램을 강제로 종료합니다.

참고: 이전 버전과의 호환성을 위해 보안 업데이트 이전 버전의 설치 유틸리티에서 사용하는 설치 스위치도 지원합니다. 그러나 향후 보안 업데이트에서는 이러한 스위치가 더 이상 지원되지 않을 수 있으므로 이전 스위치를 사용하지 않도록 하십시오.

배포 정보

사용자 개입 없이 보안 업데이트를 설치하려면 다음 명령줄을 사용하십시오.
Windows 2000 서비스 팩 2, Windows 2000 서비스 팩 3, Windows 2000 서비스 팩 4:

Windows2000-kb828749-x86-enu /passive /quiet

컴퓨터를 다시 시작하지 않고 보안 업데이트를 설치하려면 다음 명령줄을 사용하십시오.
Windows 2000 서비스 팩 2, Windows 2000 서비스 팩 3, Windows 2000 서비스 팩 4:

Windows2000-kb828749-x86-enu /norestart

참고: : 이러한 스위치는 한 명령줄에 조합하여 사용할 수 있습니다.

Software Update Services에서 이 보안 업데이트를 배포하는 방법에 대한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.

http://www.microsoft.com/korea/windows2000/windowsupdate/sus/susoverview.asp

다시 시작 요구 사항

경우에 따라서는 이 업데이트를 설치한 후 재부팅하지 않아도 됩니다. 설치 관리자가 필요한 서비스를 중지하고 업데이트를 적용한 다음 다시 시작합니다. 그러나 필요한 서비스를 중지할 수 없거나 필수 파일이 사용 중이면 재부팅이 필요합니다. 이러한 경우에는 재부팅해야 한다고 알려주는 메시지가 표시됩니다.

제거 정보

이 보안 업데이트를 제거하려면 제어판에서 프로그램 추가/제거를 사용하십시오.

시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 이 보안 업데이트를 제거할 수 있습니다. Spuninst.exe 유틸리티는 %Windir%\$NTUninstallKB828749$\Spuninst 폴더에 있으며 다음 설치 스위치를 지원합니다.

/?: 설치 스위치 목록을 표시합니다.
/u: 무인 모드를 사용합니다.
/f: 컴퓨터를 종료할 때 다른 프로그램을 강제로 종료합니다.
/z: 설치가 완료되면 다시 시작하지 않습니다.
/q: 자동 모드(사용자 개입 없음)를 사용합니다.

파일 정보

이 수정 프로그램의 한글 버전은 다음 표와 같거나 그 이상의 파일 특성을 가집니다. 이러한 파일의 날짜와 시간은 UTC(Coordinated Universal Time) 형식으로 나열되고, 파일 정보를 볼 때 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 확인하려면 제어판의 날짜/시간 도구에서 표준 시간대 탭을 사용하십시오.

Windows 2000 서비스 팩 2, Windows 2000 서비스 팩 3, Windows 2000 서비스 팩 4:

날짜	시간	버전	크기	파일 이름
2003-10-23	03:44	5.00.2195.6862	96,528	Wkssvc.dll

업데이트 설치 확인

보안 업데이트가 컴퓨터에 설치되었는지 확인하려면 MBSA(Microsoft Baseline Security Analyzer) 도구를 사용하십시오. MBSA에 대한 자세한 내용은 Microsoft 기술 자료에서 다음 문서를 참조하십시오.

320454 MBSA(Microsoft Baseline Security Analyzer) 버전 1.0 사용 가능

다음 레지스트리 키를 검토하여 보안 업데이트가 설치한 파일을 확인할 수도 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB828749\Filelist

참고: 관리자 또는 OEM이 828749 보안 업데이트를 Windows 설치 원본에 파일에 통합하거나 적용(slipstream)하는 경우에는 이 레지스트리 키가 제대로 만들어지지 않을 수 있습니다.

• MS03-049에 설명되어 있는 문제를 보고해 주신 eEye Digital Security 

• 보안 업데이트는 Microsoft 다운로드 센터에서 다운로드할 수 있으며 "security_update"라는 키워드를 사용해 쉽게 찾을 수 있습니다.
• 각 사용자 플랫폼에 해당하는 업데이트는 WindowsUpdate 웹 사이트에서 구할 수 있습니다

• 기술 지원은 1-866-PCSAFETY를 통해 Microsoft 고객기술지원부에서 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원 통화는 무료입니다.
• 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 기술 지원을 받을 수 있습니다. 보안 업데이트와 관련된 기술 지원은 무료입니다. Microsoft 지원 센터에 대한 정보는 http://support.microsoft.com/common/international.aspx를 참조하십시오.

• Microsoft TechNet Security 웹 사이트에서 Microsoft 제품의 보안에 관한 추가 정보를 제공합니다.
• Microsoft Software Update Services: http://www.microsoft.com/sus/ 
• MBSA(Microsoft Baseline Security Analyzer) 정보: http://www.microsoft.com/korea/technet/security/tools/Tools/mbsahome.asp. MBSA 도구로 검색할 수 없는 보안 업데이트 목록은 http://support.microsoft.com/?kbid=306460을 참조하십시오.
• Windows Update 카탈로그: http://support.microsoft.com/default.aspx?kbid=323166
• Windows Update: http://windowsupdate.microsoft.com
• Office 업데이트: http://office.microsoft.com/officeupdate/

• V1.0(2003년 11월 12일): 게시판에 게시