발표: 2008년 4월 17일

마이크로소프트는 로컬 시스템(LocalSystem - 윈도우 서비스가 동작하는데 사용되는 계정)에서 인증된 사용자가 권한을 상승시킬 수 있다는 취약점에 대한 조사 보고서를 발표한다. 이 취약점은 윈도우 XP Pro SP2, 윈도우 2003 전 제품(서비스팩 포함), 윈도우 비스타, 윈도우 2008 운영체제에서 발생할 수 있다. IIS(Internet Information Service)와 SQL 서버와 같이 인증 보안 세션(security context)에서 실행하는 코드를 허용하는 시스템의 관리자는 이 권고문을 주의 깊게 읽어야 한다. 호스팅 관계자 또한 권한 상승 취약점으로부터 위협을 받고 있을 수도 있다.

현재 이 취약점을 이용한 익스플로잇으로 공격한 사례를 확인되고 있지 않다. 이 조사가 완료되는 시점에서 마이크로소프트는 이 취약점으로부터 보호하는 적절한 대책 예를 들어, 서비스팩이나 월간 정기 업데이트 등을 제공할 예정이다.
   

일반 정보

개요

권고문에서는 윈도우 시스템 계정에 영향을 미치는 취약점에 대한 추가적인 정보와 해결책, 대안 등에 대해 소개한다.

참고 문헌

식별 번호

마이크소프트 지식 자료

951306

CVE 레퍼런스

CVE-2008-1436

 

영향을 미치는 운영체제

윈도우 XP 프로페셔널 서비스팩 2

윈도우 2003 서버 서비스팩 1, 윈도우 2003 서버 서비스팩 2

윈도우 2003 서버 x64, 윈도우 2003 서버 x64 서비스팩 2

윈도우 2003 서버 IA64, 윈도우 2003 서버 IA64 서비스팩 2

윈도우 비스타, 윈도우 비스타 서비스팩 1

윈도우 비스타 x64, 윈도우 비스타 x64 서비스팩 1

윈도우 2008 32비트 시스템

윈도우 2008 x64

윈도우 2008 IA64

   

자주 제기되는 질문에 대한 답변

보안 권고문의 범위는?

이 보안 권고문은 LocalSystem 계정에 인증된 사용자가 권한 상승을 가져올 수 있는 잠재적인 보안 취약점에 대한 공개 보고서이며 윈도우 XP SP2, 윈도우 2003 서버, 윈도우 비스타, 윈도우 2008 운영체제에서 발생할 수 있다. 이 문제가 일으키는 이슈는 개요 부분을 참고한다.    

마이크로소프트는 이 취약점에 대한 보안 업데이트를 발표할 예정인가?

조사가 완료된 이후에 마이크로소프트는 이 취약점을 예방하기 위한 적절한 대책을 제시할 예정이며 보안 업데이트 등이 준비될 것이다.

이 취약점의 원인은?

NetworkService 또는 LocalService 계정의 보안 컨텍스트(Security Context)하에서 실행하는 특별하게 조작된 코드는 이들 서비스를 실행하는 프로세스의 리소스를 액세스할 수 있다. 이들 프로세스들 중 일부는 LocalSystem에 권한을 상승시킬 수 있으며 NetworkService도 마찬가지이다.

IIS에 영향을 미치는 이유는?

IIS에서 동작하는 사용자가 작성한 코드, 예를 들어 ISAPI 필터와 익스텐션, ASP.NET 코드는 이 취약점에 영향을 받을 수 있다. 다음과 같은 상황에서는 취약점의 영향을 받지 않는다.

IIS 5.1, IIS 6.0, and IIS 7.0의 기본 설치 상태

ASP.NET의 신뢰 수준을 Full Trust 이하에서 실행하도록 구성한 경우.

원시적인 ASP 코드

SQL 서버에 영향을 미치는 이유는?

관리자가 코드를 로드하여 실행하는데 관리자 권한을 부여한 경우에는 SQL 서버에도 영향을 미칠 수 있다. 관리자 권한을 가진 사용자가 특별하게 조작된 코드를 실행함으로써 공격을 유발할 수 있다. 하지만, 이러한 권한은 기본적으로 설정되어 있지 않다.

공격을 유발할 수 있는 다른 요인이 있는가?

윈도우 2003에서는 MSDTC(Microsoft Distributed Transaction Coordinator) 서비스를 이용하여 공격을 유발할 수 있다. MSDTC 서비스는 다른 보안 개체의 신원을 확인하는 프로세스에 NetworkService 보안 토큰을 제공하기위해 NetworkService 권한으로 실행한다. 공격자는 이 프로세스 식별자가 seImpersonatePrivilege를 소유하고 있는 경우에 시스템에서 권한을 상승하기 위해 NetworkService 토큰을 사용할 수 있다. MSDTC로 인한 취약 요인은 윈도우 비스타나 윈도우 2008에서는 발생하지 않는다.

취약점의 영향을 받는 다른 프로그램이 있는가?

SeImpersonatePrivilege를 사용하는 프로세스에서는 이러한 권한 상승의 취약점이 발생할 수 있으며 자세한 자료는 MS KB821546을 참고한다.

취약점에 가장 위험하게 노출되어 있는 운영체제는?

윈도우 XP 프로페셔널 서비스팩 2와 윈도우 2003 서버 전제품, 윈도우 비스타, 윈도우 2008에서 IIS를 사용하거나 SQL 서버가 설치되고 앞서 언급한 취약점으로 구성된 경우에 위험하다. 사용자가 코드를 업로드할 수 있는 IIS 운영 시스템에서는 위험이 증가한다. SQL 서버에서는 인가되지 않은 사용자가 계정을 액세스할 수 있는 권한을 허용한 경우에 위험하다. 웹 호스팅 환경뿐만 아니라 이와 유사한 경우도 포함한다.

   

조치 방법

현재 이 취약점을 해결할 수 있는 패치가 제공되지 않고 있으며 아래의 대안을 대신 고려한다.

대안

IIS 6.0 - IIS 관리자에서 생성한 계정을 사용하기 위해 애플리케이션 풀에 WPI(Worker Process Identity)를 구성한다.

다음의 과정을 수행한다.

1.

IIS 관리자에서 로컬 컴퓨터 노드를 확장하고 Application Pools를 확장하고 마우스 오른쪽 버튼으로 Application Pool을 클릭하고 Properties를 선택한다.

2.

Identity 탭을 클릭하고 Configurable을 클릭한다. User name/Password 박스에서 작업 프로세스가 동작하는데 사용할 계정의 이름과 비밀번호를 입력한다.

3.

IIS_WPG 그룹에 선택한 사용자 계정을 추가한다.

MSDTC를 사용하지 않게 설정함으로써 이 취약점을 이용한 공격으로부터 취약한 시스템을 보호할 수 있다. DTC를 사용하지 않게 하려면 다음의 과정을 수행한다.

1.

시작 버튼을 클릭하고 제어판을 클릭한다.

2.

관리도구를 클릭한다.(또는 클래식 보기를 클릭하고 관리도구를 클릭한다.)

3.

서비스를 더블클릭한다.

4.

Distributed Transaction Coordinator를 더블클릭한다.

5.

Startup 리스트에서 Disabled를 클릭한다.

6.

시작한 상태이면 Stop을 클릭한다. 그리고 확인 버튼을 클릭한다.

또는 다음의 명령어를 명령 프롬프트에 입력하여 MSDTC 서비스를 중지시킬 수 있다.

sc stop MSDTC & sc config MSDTC start= disabled

대안을 사용하면서 발생할 수 있는 부담 요소 - 사용자 계정을 추가함으로써 관리자의 관리 부담이 늘어나게 된다. 또한 애플리케이션 풀에서 사용하는 애플리케이션의 성질이 변하게 됨에 따라 애플리케이션의 기능에 영향받을 수 있다. MSDTC을 사용하지 않도록 설정함으로써 분산 트랜잭션을 사용하는 애플리케이션이 제대로 동작하지 않을 수 있다. MSDTC를 중지함으로써 윈도우 XP Pro SP에서 실행하는 IIS 5.1과 IIS 6.0에서 IIS 5 호환 모드로 동작하는데 문제가 발생할 수 있다. 또한 COM+ 애플리케이션을 실행하거나 구성하는데 문제가 발생할 수 있다.

   

IIS 7.0 - IIS 관리자에서 애플리케이션 풀이 사용할 WPI를 지정한다.

다음의 과정을 수행한다.

1.

IIS 관리자에서 서버 노드를 확장하고 Application Pools를 클릭한다. 마우스 오른쪽 버튼으로 Application pool을 클릭하고 Advanced Settings를 클릭한다.

2.

Identity 항목을 찾아 버튼을 클릭하여 Application Pool Identity 대화상자를 연다.

3.

Custom account 옵션을 선택하고 Set 버튼을 클릭하여 Set Credentials 대화상자를 연다. 사용자 이름과 비밀번호를 입력하고, 비밀번호를 다시 한번 입력한다. 확인 버튼을 클릭한다.

알림 - IIS 7에서는 IIS_WPG 그룹에 계정 정보가 곧바로 추가되므로 관리자가 직접 추가할 필요는 없다.

대안을 사용하면서 발생할 수 있는 부담 요소 - 사용자 계정을 추가함으로써 관리자의 관리 부담이 늘어나게 된다. 또한 애플리케이션 풀에서 사용하는 애플리케이션의 성질이 변하게 됨에 따라 애플리케이션의 기능에 영향받을 수 있다.

   

IIS 7.0 - APPCMD.exe 명령행 유틸리티를 이용하여 애플리케이션 풀이 사용할 WPI를 지정한다.

1.

명령 프롬프트에서 %systemroot%\system32\inetsrv 폴더로 이동한다.

2.

APPCMD.exe 명령어를 실행하고 아래와 같이 문법을 이용하여 매개변수를 지정한다.

string - 애플리케이션 풀 이름

Username string - 애플리케이션 풀에 지정할 사용자 계정 이름

Password string - 사용자 계정의 비밀번호

appcmd set config /section:applicationPools /

[name='string'].processModel.identityType:SpecificUser /

[name='string'].processModel.userName:string /

[name='string'].processModel.password:string

알림 - IIS 7에서는 IIS_WPG 그룹에 계정 정보가 곧바로 추가되므로 관리자가 직접 추가할 필요는 없다.

대안을 사용하면서 발생할 수 있는 부담 요소 - 사용자 계정을 추가함으로써 관리자의 관리 부담이 늘어나게 된다. 또한 애플리케이션 풀에서 사용하는 애플리케이션의 성질이 변하게 됨에 따라 애플리케이션의 기능에 영향받을 수 있다.

   

개정일: 

April 17, 2008년 4월 17일: 보안 권고문 게시

원본 위치 <http://www.microsoft.com/technet/security/advisory/951306.mspx>

   

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    마이크로소프트는 윈도우와 오피스 등 자사 제품에서 발생하는 또는 발생 가능한 취약점을 정기적으로 제공하고 있습니다. 4월 달에는 주로 치명적인 취약점을 해결하는 패치가 발표되었으며 특히 GDI 관련 취약점을 이용하는 익스플로잇 코드가 인터넷에 공개되는 등 파장이 커지고 있습니다.

    한 편, 일부에서 제기된 보안 취약점에 대해 마이크로소프트가 공식적인 보고서를 발표하였으며 이 보고서에 따르면 다양한 윈도우의 버전뿐만 아니라 SQL 서버를 설치한 시스템에 문제점이 나타날 수 있다고 합니다.

    마이크로소프트 보안 권고문(Microsoft Security Advisory 951306)에 따르면 다양한 윈도우 버전에 영향을 미칠 수 있는 취약점이 있으며 로컬 시스템에 인증한 사용자가 권한 상승을 가져올 수 있는 보안상 취약점이라고 밝혔습니다. 취약한 운영체제에는 윈도우 XP SP2, 윈도우 2003 전 제품, 윈도우 비스타, 윈도우 비스타 SP1, 윈도우 2008 등 거의 모든 운영체제를 포함한다고 해도 과언이 아닙니다.

    보안 권고문에 따르면 이 취약점은 위에서 언급한 운영체제에서 항상 발생하는 것은 아니고, IIS(인터넷 정보 서비스)를 사용하고 있거나, SQL 서버가 설치하고 사용자가 코드를 로드하고 실행하는데 관리자 권한을 부여한 경우에만 발생한다고 합니다. 따라서, 회사에서 사용하는 서버에서는 취약할 수 있지만 일반적인 가정 사용자는 이러한 시스템을 갖추는 경우가 드물기 때문에 영향이 거의 없으리라 예상됩니다.

    마이크로소프트는 이 취약점을 이용하는 유형의 공격에 대해 아직 알려진 바가 없으며 취약점에 대한 조사가 아직 완료된 상태가 아니라고 합니다. 마이크로소프트는 이 문제점을 해결하기 위한 패치를 서비스 팩이나 월간 정기 업데이트에서 제공할 예정이라고 언급했습니다.

    또한 패치를 발표하기 전에 이 취약점으로부터 공격을 예방할 수 있는 대안 3가지를 제시하였으며 자세한 사항은 아래 보안 권고문 951306을 참고하기 바랍니다.

    참고자료: 마이크로소프트 보안 권고문 951306

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory