발표: 2008년 4월 17일

마이크로소프트는 로컬 시스템(LocalSystem - 윈도우 서비스가 동작하는데 사용되는 계정)에서 인증된 사용자가 권한을 상승시킬 수 있다는 취약점에 대한 조사 보고서를 발표한다. 이 취약점은 윈도우 XP Pro SP2, 윈도우 2003 전 제품(서비스팩 포함), 윈도우 비스타, 윈도우 2008 운영체제에서 발생할 수 있다. IIS(Internet Information Service)와 SQL 서버와 같이 인증 보안 세션(security context)에서 실행하는 코드를 허용하는 시스템의 관리자는 이 권고문을 주의 깊게 읽어야 한다. 호스팅 관계자 또한 권한 상승 취약점으로부터 위협을 받고 있을 수도 있다.

현재 이 취약점을 이용한 익스플로잇으로 공격한 사례를 확인되고 있지 않다. 이 조사가 완료되는 시점에서 마이크로소프트는 이 취약점으로부터 보호하는 적절한 대책 예를 들어, 서비스팩이나 월간 정기 업데이트 등을 제공할 예정이다.
   

일반 정보

개요

권고문에서는 윈도우 시스템 계정에 영향을 미치는 취약점에 대한 추가적인 정보와 해결책, 대안 등에 대해 소개한다.

참고 문헌

식별 번호

마이크소프트 지식 자료

951306

CVE 레퍼런스

CVE-2008-1436

 

영향을 미치는 운영체제

윈도우 XP 프로페셔널 서비스팩 2

윈도우 2003 서버 서비스팩 1, 윈도우 2003 서버 서비스팩 2

윈도우 2003 서버 x64, 윈도우 2003 서버 x64 서비스팩 2

윈도우 2003 서버 IA64, 윈도우 2003 서버 IA64 서비스팩 2

윈도우 비스타, 윈도우 비스타 서비스팩 1

윈도우 비스타 x64, 윈도우 비스타 x64 서비스팩 1

윈도우 2008 32비트 시스템

윈도우 2008 x64

윈도우 2008 IA64

   

자주 제기되는 질문에 대한 답변

보안 권고문의 범위는?

이 보안 권고문은 LocalSystem 계정에 인증된 사용자가 권한 상승을 가져올 수 있는 잠재적인 보안 취약점에 대한 공개 보고서이며 윈도우 XP SP2, 윈도우 2003 서버, 윈도우 비스타, 윈도우 2008 운영체제에서 발생할 수 있다. 이 문제가 일으키는 이슈는 개요 부분을 참고한다.    

마이크로소프트는 이 취약점에 대한 보안 업데이트를 발표할 예정인가?

조사가 완료된 이후에 마이크로소프트는 이 취약점을 예방하기 위한 적절한 대책을 제시할 예정이며 보안 업데이트 등이 준비될 것이다.

이 취약점의 원인은?

NetworkService 또는 LocalService 계정의 보안 컨텍스트(Security Context)하에서 실행하는 특별하게 조작된 코드는 이들 서비스를 실행하는 프로세스의 리소스를 액세스할 수 있다. 이들 프로세스들 중 일부는 LocalSystem에 권한을 상승시킬 수 있으며 NetworkService도 마찬가지이다.

IIS에 영향을 미치는 이유는?

IIS에서 동작하는 사용자가 작성한 코드, 예를 들어 ISAPI 필터와 익스텐션, ASP.NET 코드는 이 취약점에 영향을 받을 수 있다. 다음과 같은 상황에서는 취약점의 영향을 받지 않는다.

IIS 5.1, IIS 6.0, and IIS 7.0의 기본 설치 상태

ASP.NET의 신뢰 수준을 Full Trust 이하에서 실행하도록 구성한 경우.

원시적인 ASP 코드

SQL 서버에 영향을 미치는 이유는?

관리자가 코드를 로드하여 실행하는데 관리자 권한을 부여한 경우에는 SQL 서버에도 영향을 미칠 수 있다. 관리자 권한을 가진 사용자가 특별하게 조작된 코드를 실행함으로써 공격을 유발할 수 있다. 하지만, 이러한 권한은 기본적으로 설정되어 있지 않다.

공격을 유발할 수 있는 다른 요인이 있는가?

윈도우 2003에서는 MSDTC(Microsoft Distributed Transaction Coordinator) 서비스를 이용하여 공격을 유발할 수 있다. MSDTC 서비스는 다른 보안 개체의 신원을 확인하는 프로세스에 NetworkService 보안 토큰을 제공하기위해 NetworkService 권한으로 실행한다. 공격자는 이 프로세스 식별자가 seImpersonatePrivilege를 소유하고 있는 경우에 시스템에서 권한을 상승하기 위해 NetworkService 토큰을 사용할 수 있다. MSDTC로 인한 취약 요인은 윈도우 비스타나 윈도우 2008에서는 발생하지 않는다.

취약점의 영향을 받는 다른 프로그램이 있는가?

SeImpersonatePrivilege를 사용하는 프로세스에서는 이러한 권한 상승의 취약점이 발생할 수 있으며 자세한 자료는 MS KB821546을 참고한다.

취약점에 가장 위험하게 노출되어 있는 운영체제는?

윈도우 XP 프로페셔널 서비스팩 2와 윈도우 2003 서버 전제품, 윈도우 비스타, 윈도우 2008에서 IIS를 사용하거나 SQL 서버가 설치되고 앞서 언급한 취약점으로 구성된 경우에 위험하다. 사용자가 코드를 업로드할 수 있는 IIS 운영 시스템에서는 위험이 증가한다. SQL 서버에서는 인가되지 않은 사용자가 계정을 액세스할 수 있는 권한을 허용한 경우에 위험하다. 웹 호스팅 환경뿐만 아니라 이와 유사한 경우도 포함한다.

   

조치 방법

현재 이 취약점을 해결할 수 있는 패치가 제공되지 않고 있으며 아래의 대안을 대신 고려한다.

대안

IIS 6.0 - IIS 관리자에서 생성한 계정을 사용하기 위해 애플리케이션 풀에 WPI(Worker Process Identity)를 구성한다.

다음의 과정을 수행한다.

1.

IIS 관리자에서 로컬 컴퓨터 노드를 확장하고 Application Pools를 확장하고 마우스 오른쪽 버튼으로 Application Pool을 클릭하고 Properties를 선택한다.

2.

Identity 탭을 클릭하고 Configurable을 클릭한다. User name/Password 박스에서 작업 프로세스가 동작하는데 사용할 계정의 이름과 비밀번호를 입력한다.

3.

IIS_WPG 그룹에 선택한 사용자 계정을 추가한다.

MSDTC를 사용하지 않게 설정함으로써 이 취약점을 이용한 공격으로부터 취약한 시스템을 보호할 수 있다. DTC를 사용하지 않게 하려면 다음의 과정을 수행한다.

1.

시작 버튼을 클릭하고 제어판을 클릭한다.

2.

관리도구를 클릭한다.(또는 클래식 보기를 클릭하고 관리도구를 클릭한다.)

3.

서비스를 더블클릭한다.

4.

Distributed Transaction Coordinator를 더블클릭한다.

5.

Startup 리스트에서 Disabled를 클릭한다.

6.

시작한 상태이면 Stop을 클릭한다. 그리고 확인 버튼을 클릭한다.

또는 다음의 명령어를 명령 프롬프트에 입력하여 MSDTC 서비스를 중지시킬 수 있다.

sc stop MSDTC & sc config MSDTC start= disabled

대안을 사용하면서 발생할 수 있는 부담 요소 - 사용자 계정을 추가함으로써 관리자의 관리 부담이 늘어나게 된다. 또한 애플리케이션 풀에서 사용하는 애플리케이션의 성질이 변하게 됨에 따라 애플리케이션의 기능에 영향받을 수 있다. MSDTC을 사용하지 않도록 설정함으로써 분산 트랜잭션을 사용하는 애플리케이션이 제대로 동작하지 않을 수 있다. MSDTC를 중지함으로써 윈도우 XP Pro SP에서 실행하는 IIS 5.1과 IIS 6.0에서 IIS 5 호환 모드로 동작하는데 문제가 발생할 수 있다. 또한 COM+ 애플리케이션을 실행하거나 구성하는데 문제가 발생할 수 있다.

   

IIS 7.0 - IIS 관리자에서 애플리케이션 풀이 사용할 WPI를 지정한다.

다음의 과정을 수행한다.

1.

IIS 관리자에서 서버 노드를 확장하고 Application Pools를 클릭한다. 마우스 오른쪽 버튼으로 Application pool을 클릭하고 Advanced Settings를 클릭한다.

2.

Identity 항목을 찾아 버튼을 클릭하여 Application Pool Identity 대화상자를 연다.

3.

Custom account 옵션을 선택하고 Set 버튼을 클릭하여 Set Credentials 대화상자를 연다. 사용자 이름과 비밀번호를 입력하고, 비밀번호를 다시 한번 입력한다. 확인 버튼을 클릭한다.

알림 - IIS 7에서는 IIS_WPG 그룹에 계정 정보가 곧바로 추가되므로 관리자가 직접 추가할 필요는 없다.

대안을 사용하면서 발생할 수 있는 부담 요소 - 사용자 계정을 추가함으로써 관리자의 관리 부담이 늘어나게 된다. 또한 애플리케이션 풀에서 사용하는 애플리케이션의 성질이 변하게 됨에 따라 애플리케이션의 기능에 영향받을 수 있다.

   

IIS 7.0 - APPCMD.exe 명령행 유틸리티를 이용하여 애플리케이션 풀이 사용할 WPI를 지정한다.

1.

명령 프롬프트에서 %systemroot%\system32\inetsrv 폴더로 이동한다.

2.

APPCMD.exe 명령어를 실행하고 아래와 같이 문법을 이용하여 매개변수를 지정한다.

string - 애플리케이션 풀 이름

Username string - 애플리케이션 풀에 지정할 사용자 계정 이름

Password string - 사용자 계정의 비밀번호

appcmd set config /section:applicationPools /

[name='string'].processModel.identityType:SpecificUser /

[name='string'].processModel.userName:string /

[name='string'].processModel.password:string

알림 - IIS 7에서는 IIS_WPG 그룹에 계정 정보가 곧바로 추가되므로 관리자가 직접 추가할 필요는 없다.

대안을 사용하면서 발생할 수 있는 부담 요소 - 사용자 계정을 추가함으로써 관리자의 관리 부담이 늘어나게 된다. 또한 애플리케이션 풀에서 사용하는 애플리케이션의 성질이 변하게 됨에 따라 애플리케이션의 기능에 영향받을 수 있다.

   

개정일: 

April 17, 2008년 4월 17일: 보안 권고문 게시

원본 위치 <http://www.microsoft.com/technet/security/advisory/951306.mspx>

   

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    마이크로소프트 보안 권고문 (943521)

    IE 7에서 URL 처리에 관한 취약점으로 인한 원격 코드 실행

    발행일: October 10, 2007

    윈도우 XP와 윈도우 2003 운영체제에 설치된 IE(인터넷 익스플로러 7)에서 원격 코드 실행에 대한 취약점이 공개되었습니다. 이 취약점을 통해 실제 공격이 이루어진 적이 있다는 보고는 없습니다.

    그리고, 위 취약점은 윈도우 비스타에서는 영향 받지 않으며, IE 7가 설치되지 않은 다른 운영체제에서도 영향을 받지 않습니다.

    이 취약점에 대한 충분한 조사가 마친 후에 마이크로소프트는 서비스 팩 또는 월간 정기 업데이트 등의 방법을 통해 보안 문제를 해결할 예정입니다.

    일반 정보

    개요

    권고 목적: 공개된 취약점에 대한 정보를 소비자에게 알림

    진행 상태: 문제점 확인, 보안 업데이트 계획됨

    추천 방안: 신뢰할 수 없는 링크 클릭 금지, 신뢰할 수 없는 사이트 방문 금지

    참조

    식별 번호

    Microsoft Knowledge Base Article

    943521

    CVE

    CVE-2007-3896

    이 취약점은 다음 소프트웨어에서 발생합니다.

    관련 소프트웨어

    IE 7이 설치된 윈도우 XP SP2

    IE 7이 설치된 윈도우 XP Pro x64 에디션

    IE 7이 설치된 윈도우 XP Pro x64 에디션 SP2

    IE 7이 설치된 윈도우 2003 SP1, SP2

    IE 7이 설치된 윈도우 2003 x64 에디션, SP2

    IE 7이 설치된 윈도우 2003 SP1, SP2(IA64 시스템)

    자주 묻는 질문

    이 권고문의 범위는?

    What is the scope of the advisory?

    윈도우에서 특정한 URI, URL을 처리할 때 취약점이 발생한다. 취약점이 발생하는 소프트웨어는 바로 위에서 언급하고 있다.

    이 취약점으로 인해 마이크로소프트는 보안 업데이트를 준비하고 있는가?

    마이크로소프트는 이 취약점을 해결하기 위한 보안 업데이트를 개발 중에 있다.

    취약점의 원인은?

    특별하게 조작된 URL, URI를 윈도우가 전달할 때 제대로 처리하지 못해 발생한다. IE 7은 윈도우 구성요소를 업데이트하는데, URL, RI를 처리할 때 IE와 윈도우 쉘 간의 상호 대화하는 방식을 변경한다. 확인되지 않은 URI, URL을 애플리케이션이 윈도우로 전달할 때에 취약점이 익스플로잇된다.

    공격자가 이 취약점으로 노릴 수 있는 부분은?

    공격자는 특별하게 조작한 URI, URL을 애플리케이션에 임베딩하여 사용자가 이를 처리하는 방식으로 공격을 시도할 수 있다. 예를 들어, 사용자가 이메일 메시지에 대한 링크를 클릭하게 하여 사용자가 로그온한 보안 컨텍스트 하에서 의도된 코드를 실행하게 할 수 있다.

    추천하는 대처 방안

    PC 보호 방안

    PC를 안전하게 보호하기 위해 방화벽 기능 사용, 보안 업데이트 적용, 안티 바이러스 소프트웨어 설치 등을 추천하고 있다.

    인터넷을 좀더 안전하게 사용하고자 하는 경우 다음의 정보를 참고한다.

    Microsoft Security Home Page

    윈도우를 항상 최신의 상태로 업데이트

    윈도우 사용자는 가능한 보안 상태를 최상으로 유지하기 위해 최신 보안 업데이트를 적용해야 한다. PC가 최신 업데이트인지 여부를 확인하기 위해서는 아래 사이트를 참고한다.

    Windows Update Web site

    원본 위치 <http://www.microsoft.com/technet/security/advisory/943521.mspx>

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory