Microsoft 보안 공지 MS07-019

범용 플러그 앤 플레이 서비스에서 특수하게 조작된 HTTP 요청을 처리하는 방식에 원격 코드 실행 취약점이 존재합니다. 이 취약점 악용에 성공한 공격자는 로컬 서비스 컨텍스트에서 임의 코드를 실행할 수 있습니다.

•	이 취약점 악용에 성공한 공격자는 로컬 서비스 계정의 컨텍스트에서만 코드를 실행할 수 있으며 로컬 시스템 계정에서는 실행할 수 없습니다.
•	영향을 받는 시스템에서 기본적으로 UPnP 서비스는 수동으로 설정되어 있습니다.
•	최선의 방화벽 구성 방법과 표준 기본 방화벽 구성을 이용하면 기업 경계 외부에서 들어오는 공격으로부터 네트워크를 보호할 수 있습니다. 인터넷과 연결되는 시스템의 경우, 필요한 포트만 최소한으로 열어 두는 것이 안전합니다.

Top of section

Microsoft는 다음과 같은 대안을 테스트했습니다. 이러한 대안이 취약점 자체를 해결하지는 않지만 알려진 공격 경로를 차단하는 데 도움이 됩니다. 대안으로 인해 기능이 저하되는 경우는 아래 섹션에 별도로 표시하였습니다.

•

방화벽에서 다음 항목을 차단합니다. • UDP 포트 1900 및 TCP 포트 2869 UPnP 프레임워크는 UDP 포트 1900 및 TCP 포트 2869를 사용합니다. SSDP(Simple Service Discovery Protocol)는 멀티캐스트 검색을 사용하여 UPnP 장치를 검색합니다. 멀티캐스트 검색은 동적 송신 포트를 사용하여 UDP 포트 1900으로 전송됩니다. Windows 방화벽은 멀티캐스트 검색 3초 내에 수신된 일치하는 멀티캐스트 검색 응답을 수락합니다. 이후에는 멀티캐스트 검색 응답과 검색 요청이 일치하더라도 방화벽에서 멀티캐스트 검색 응답을 차단합니다. 방화벽 구성 시 UPnP 서비스의 영향에 대한 자세한 내용은 Microsoft 기술 자료 문서 886257을 참조하십시오. 대안의 영향: • UPnP 프레임워크에서 자신을 알리고 네트워크에 연결된 UPnP 장치를 검색할 수 없습니다. 방화벽에서 이러한 수신 알림을 차단합니다. • 다른 컴퓨터에서 실행되는 제어 지점에서 Windows XP SP2 컴퓨터에서 실행되는 UPnP 장치를 찾거나 제어할 수 없습니다. 방화벽에서 들어오는 UPnP 장치 관련 메시지를 차단합니다. 대안 실행 취소 방법: 대안을 실행 취소하려면 방화벽에서 UDP 포트 1900 및 TCP 포트 2869를 다시 사용하도록 설정합니다.

•

범용 플러그 앤 플레이 서비스 사용 안 함 UPnP 서비스를 사용하지 않도록 설정하면 이 취약점을 악용하는 시도로부터 영향을 받는 시스템을 보호할 수 있습니다. UPnP 서비스를 사용하지 않도록 설정하려면 다음 단계를 수행하십시오. 1. 시작, 제어판 을 차례로 클릭합니다.또는 설정을 가리킨 다음 제어판을 클릭합니다. 2. 관리 도구를 두 번 클릭합니다. 3. 서비스를 두 번 클릭합니다. 4. 범용 플러그 앤 플레이 장치 호스트를 두 번 클릭합니다. 5. 시작 유형 목록에서 사용 안 함을 클릭합니다. 6. 중지, 확인을 차례로 클릭합니다. 명령 프롬프트에서 다음 명령을 사용하여 UPnP 서비스를 중지하고 사용하지 않도록 설정할 수도 있습니다. sc stop UPnPHost &sc config UPnPHost start= disabled 대안의 영향: UPnP 서비스를 사용하지 않는 경우 UPnP 서비스에 종속된 구성 요소는 제대로 작동하지 않을 수 있습니다. 대안 실행 취소 방법: 대안을 취소하려면 UPnP 서비스를 다시 사용하도록 설정합니다. 이렇게 하려면 다음 단계를 수행하십시오. 1. 시작, 제어판 을 차례로 클릭합니다.또는 설정을 가리킨 다음 제어판을 클릭합니다. 2. 관리 도구를 두 번 클릭합니다. 3. 서비스를 두 번 클릭합니다. 4. 범용 플러그 앤 플레이 장치 호스트를 두 번 클릭합니다. 5. 시작 유형 목록에서 수동을 클릭합니다. 6. 시작을 클릭한 다음 확인을 클릭합니다.

•	네트워크를 통해 취약점을 악용하려는 시도로부터 보호하려면 시스템에서 이 기능을 지원하는 고급 TCP/IP 필터링을 설정합니다. 고급 TCP/IP 필터링을 사용하면 들어오는 방향의 원치 않는 트래픽을 모두 차단할 수 있습니다. TCP/IP 필터링을 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 309798을 참조하십시오.
•	네트워크를 통해 취약점을 악용하려는 시도로부터 보호하려면 영향을 받는 시스템에서 IPsec을 사용하여 해당 포트를 차단합니다. IPSec(인터넷 프로토콜 보안)을 사용하면 네트워크 통신을 보호할 수 있습니다. IPSec에 대한 자세한 내용 및 필터를 적용하는 방법은 Microsoft 기술 자료 문서 313190 및 Microsoft 기술 자료 문서 813878을 참조하십시오.

Top of section

이 취약점을 악용하면 어느 작업까지 가능합니까? 
범용 플러그 앤 플레이(UPnP) 서비스에서 특수하게 조작된 HTTP 요청을 처리하는 방식에 원격 코드 실행 취약점이 존재합니다. 이러한 HTTP 요청은 동일한 서브넷에 있는 공격자만 대상 컴퓨터에 직접 보낼 수 있습니다. Windows XP 방화벽 및 프로토콜은 이러한 서브넷 제한을 기본적으로 사용합니다. 이 취약점 악용에 성공한 공격자는 로컬 서비스 계정의 컨텍스트에서 임의 코드를 실행할 수 있습니다.

취약점의 원인은 무엇입니까? 
UPnP 서비스에서 특별히 조작된 HTTP 요청을 처리하면 시스템 메모리가 손상되어 공격자가 임의 코드를 실행할 수 있습니다.

UPnP란 무엇입니까? 
UPnP는 플러그 앤 플레이를 확장하여 가정과 회사에서 지능형 장치의 네트워킹을 단순화하는 컴퓨터 네트워크 프로토콜 집합입니다. UPnP 기술을 적용한 장치가 물리적으로 네트워크에 연결되어 있으면 사용자 구성 또는 중앙 서버 없이도 서로 네트워크에서 자동 연결됩니다.

공격자는 취약점을 악용하여 무엇을 할 수 있습니까? 
이 취약점을 성공적으로 악용한 경우 공격자는 영향을 받는 시스템을 완전히 제어할 수 있습니다.

취약점으로 인해 노출되는 시스템은 주로 무엇입니까? 
주로 워크스테이션 및 클라이언트 컴퓨터가 위험에 노출됩니다. 서버 및 터미널 서버에는 영향을 받는 UPnP 구성 요소가 포함되어 있지 않으므로, 공격 받을 위험이 없습니다. UPnP 기능을 사용하는 구성 요소가 설치된 시스템에서 UPnP 서비스를 사용하도록 설정하면 시스템이 위험에 노출될 수 있습니다.

인터넷을 통해서도 취약점을 악용할 수 있습니까? 
대상 컴퓨터와 동일한 서브넷에 있는 공격자는 이 취약점을 악용할 수 있습니다. 이러한 HTTP 요청은 동일한 서브넷에 있는 공격자만 대상 컴퓨터에 직접 보낼 수 있습니다. 또한 경계 방화벽 구성 모범 사례와 표준 경계 방화벽 구성을 이용하면 인터넷을 이용한 공격으로부터 네트워크를 보호할 수 있습니다.

업데이트는 어떤 기능을 수행합니까? 
업데이트는 UPnP가 할당된 버퍼로 데이터를 전달하기 전에 HTTP 요청에 대한 유효성을 검사하는 방식을 수정하여 취약점을 제거합니다.

이 보안 공지를 게시했을 때 이 취약점이 공개되어 있었습니까? 
아니요. Microsoft는 신뢰할 수 있는 정보 공개를 통해 이 취약점 관련 정보를 입수하였습니다.

이 보안 공지를 게시했을 때 Microsoft는 이 취약점이 악용되었다는 보고를 받았습니까? 
아니요. Microsoft는 이 취약점이 공개적으로 고객을 공격하는 데 사용되었다는 정보를 받지 못했으며, 이 보안 공지를 처음에 게시했을 때 개념 증명 코드의 예제를 보지 못했습니다.

Top of section

전제 조건
이 보안 업데이트를 적용하려면 Windows XP 서비스 팩 2 또는 Windows XP Professional x64 Edition이 필요합니다. 최신 Windows XP 서비스 팩을 구하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 322389를 참조하십시오. Windows XP Professional x64 Edition 서비스 팩 2를 구하는 방법에 대한 자세한 내용은 다운로드 센터 (영문)에서 다음 링크를 참조하십시오.

향후 서비스 팩에 포함
이 문제점에 대한 업데이트는 향후 서비스 팩 또는 업데이트 롤업에 포함될 것입니다.

설치 정보

이 보안 업데이트는 다음 설치 스위치를 지원합니다.

참고 한 명령에서 이러한 스위치를 조합하여 사용할 수 있습니다. 보안 업데이트에서는 이전 버전과의 호환성을 위해 이전 버전의 설치 프로그램에서 사용하는 설치 스위치도 지원합니다. 지원되는 설치 스위치에 대한 자세한 내용은 Microsoft 기술 자료 문서 262841을 참조하십시오. Update.exe 설치 프로그램에 대한 자세한 내용은 Microsoft TechNet 웹 사이트 (영문)를 참조하십시오.

배포 정보

사용자 개입 없이 보안 업데이트를 설치하려면 Microsoft Windows XP 명령 프롬프트에서 다음 명령을 사용하십시오.

Windowsxp-kb931261-x86-kor /quiet

참고/quiet 스위치를 사용하면 모든 메시지가 표시되지 않습니다. 마찬가지로 실패 메시지도 표시되지 않습니다. 관리자는 지원되는 방법 중 하나를 사용하여 /quiet 스위치를 사용할 때 설치가 제대로 되었는지 확인해야 합니다. 또한 관리자는 이 스위치를 사용할 때 KB931261.log 파일에서 모든 실패 메시지를 검토해야 합니다.

컴퓨터를 다시 시작하지 않고 보안 업데이트를 설치하려면 Windows XP 명령 프롬프트에서 다음 명령을 사용하십시오.

Windowsxp-kb931261-x86-kor /norestart

Software Update Service로 이 보안 업데이트를 배포하는 방법에 대한 자세한 내용은 Software Update Services 웹 사이트를 참조하십시오. Windows Server Update Services를 사용하여 보안 업데이트를 신속하게 배포하는 방법에 대한 자세한 내용은 Windows Server Update Services 웹 사이트를 참조하십시오. 이 보안 업데이트는 Microsoft Update 웹 사이트에서도 제공됩니다.

다시 시작 요구 사항

이 보안 업데이트를 적용한 다음 컴퓨터를 다시 시작해야 합니다. 컴퓨터를 다시 시작하라는 메시지가 나타나는 이유에 대한 자세한 내용은 Microsoft 기술 자료 문서 887012를 참조하십시오.

제거 정보

이 보안 업데이트를 제거하려면 제어판의 프로그램 추가/제거 도구를 사용하십시오.

시스템 관리자는 Spuninst.exe 유틸리티를 사용하여 이 보안 업데이트를 제거할 수도 있습니다. Spuninst.exe 유틸리티는 %Windir%\$NTUninstallKB931261$\Spuninst 폴더에 있습니다.

파일 정보

이 보안 업데이트의 한국어 버전은 다음 표의 파일 특성을 가집니다. 이러한 파일의 날짜와 시간은 UTC(Coordinated Universal Time) 형식으로 나열되며 파일 정보를 볼 때 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 확인하려면 제어판의 날짜 및 시간 도구에서 표준 시간대 탭을 사용하십시오.

Windows XP Home Edition 서비스 팩 2, Windows XP Professional 서비스 팩 2, Windows XP Tablet PC Edition 2005 및 Windows XP Media Center Edition 2005:

Windows XP Professional x64 Edition 및 Windows XP Professional x64 Edition 서비스 팩 2:

참고 이러한 보안 업데이트를 설치할 때 설치 프로그램은 해당 컴퓨터에서 하나 이상의 업데이트할 파일이 Microsoft 핫픽스에 의해 이미 업데이트되었는지 확인합니다.

이전에 핫픽스를 설치하여 이러한 파일 중 하나를 업데이트한 경우에는 설치 프로그램이 RTMQFE, SP1QFE 또는 SP2QFE 파일을 시스템에 복사하고, 그렇지 않으면 설치 프로그램은 RTMGDR, SP1GDR 또는 SP2GDR 파일을 시스템에 복사합니다. 보안 업데이트는 이러한 파일의 일부 버전을 포함하지 않을 수 있습니다. 자세한 내용은 Microsoft 기술 자료 문서 824994를 참조하십시오.

Update.exe 설치 프로그램에 대한 자세한 내용을 보려면 Microsoft TechNet 웹 사이트 (영문)를 방문하십시오.

핫픽스와 같이 이 공지에서 사용하는 용어에 대한 자세한 내용은 Microsoft 기술 자료 문서 824684를 참조하십시오.

적용된 업데이트 확인