보안 권고
Microsoft 보안 권고 911052
RPC를 통한 메모리 할당 서비스 거부
게시 날짜: 2005년 11월 16일 | 업데이트: 2005년 11월 18일
Microsoft는 Microsoft Windows 2000 서비스 팩 4 및 Microsoft Windows XP 서비스 팩 1에서 가능한 취약성을 악용하려는 개념 증명 코드의 공개 보고서를 알고 있습니다. 이 취약성으로 인해 공격자가 제한된 기간의 서비스 거부 공격을 수행할 수 있습니다.
Windows 2000 서비스 팩 4에서 공격자가 이 취약성을 익명으로 악용할 수 있습니다. Windows XP 서비스 팩 1에서 공격자는 이 취약성을 악용하기 위해 유효한 로그온 자격 증명이 있어야 합니다. 익명 사용자가 이 취약성을 원격으로 악용할 수 없습니다. 그러나 영향을 받는 구성 요소는 표준 사용자 계정이 있는 사용자가 원격으로 사용할 수 있습니다. Windows XP 서비스 팩 2를 설치한 고객은 이 취약성의 영향을 받지 않습니다. 또한 Windows Server 2003 및 Windows Server 2003 서비스 팩 1을 실행하는 고객은 이 취약성의 영향을 받지 않습니다.
Microsoft는 현재 이 취약성을 사용하는 활성 공격이나 고객에게 미치는 영향을 인식하지 않습니다. 그러나 Microsoft는 이러한 상황을 적극적으로 모니터링하여 고객에게 정보를 제공하고 필요에 따라 고객 지침을 제공하고 있습니다.
Microsoft는 Windows 2000 서비스 팩 4 및 Windows XP 서비스 팩 1의 취약성에 대한 이 새로운 보고서가 책임감 있게 공개되지 않아 컴퓨터 사용자가 위험에 처할 수 있다고 우려하고 있습니다. 취약성에 대한 책임 있는 공개를 계속 장려합니다. Microsoft는 일반적으로 허용되는 취약성을 공급업체에 직접 보고하는 것이 모든 사람의 최선의 이익에 도움이 된다고 믿습니다. 이 사례를 통해 고객은 업데이트가 개발되는 동안 악의적인 공격자에게 노출되지 않고 보안 취약성에 대한 포괄적인 고품질 업데이트를 받을 수 있습니다.
이 취약성은 보안 공지 MS05-047에서 해결된 취약성을 조사하는 동안 보안 연구원에 의해 발견되었지만 완전히 별개의 취약성이며 MS05-047에서 설명하는 취약성과 관련이 없습니다. Microsoft는 고객이 MS05-047 업데이트 및 Microsoft에서 릴리스한 모든 최근 보안 업데이트를 적용하도록 계속 권장합니다.
당사는 고객이 방화벽을 사용하도록 설정하고, 소프트웨어 업데이트를 받고, 바이러스 백신 소프트웨어를 설치하는 PC 보호 지침을 따르도록 계속 권장합니다. 고객은 PC 보호 웹 사이트를 방문하여 이러한 단계에 대해 자세히 알아볼 수 있습니다.
완화 요소:
- Windows XP 서비스 팩 1에서 공격자는 이 취약성을 악용하기 위해 유효한 로그온 자격 증명을 가지고 있어야 합니다. 익명 사용자가 이 취약성을 원격으로 악용할 수 없습니다. 그러나 영향을 받는 구성 요소는 표준 사용자 계정이 있는 사용자가 원격으로 사용할 수 있습니다. 특정 구성에서 익명 사용자는 게스트 계정으로 인증할 수 있습니다. 자세한 내용은 Microsoft 보안 권고 906574 참조하세요.
- Windows XP 서비스 팩 2, Windows Server 2003 및 Windows Server 2003 서비스 팩 1을 실행하는 고객은 이 취약성의 영향을 받지 않습니다.
- 방화벽 모범 사례 및 표준 기본 방화벽 구성은 엔터프라이즈 경계 외부에서 발생하는 공격으로부터 네트워크를 보호하는 데 도움이 될 수 있습니다. 모범 사례에서는 인터넷에 연결된 시스템에 최소한의 포트가 노출되는 것이 좋습니다.
일반 정보
개요
권고의 목적: 공개적으로 공개된 문제에 대해 고객에게 조언하고, 해당 문제의 범위와 영향을 명확히 하고, 규범적인 지침을 제공하기 위해
권고 상태: 조사 중입니다.
권장 사항: 제안된 작업을 검토하고 적절하게 구성합니다.
| 참조 | ID |
|---|---|
| CVE 참조 | CAN-2005-3644 |
| Microsoft 기술 자료 문서 | 911052 |
이 권고에서는 다음 소프트웨어에 대해 설명합니다.
| 관련 소프트웨어 |
| Microsoft Windows 2000 서비스 팩 4 |
| Microsoft Windows XP 서비스 팩 1 |
질문과 대답
권고의 범위는 무엇입니까?
Microsoft는 Microsoft Windows의 새로운 메모리 할당 서비스 거부 취약성을 인식했습니다. 이는 "개요" 섹션에 나열된 소프트웨어에 영향을 줍니다.
RPC(원격 프로시저 호출)란?
RPC(원격 프로시저 호출)는 Windows 운영 체제에서 사용하는 프로토콜입니다. RPC는 한 컴퓨터에서 실행되는 프로그램이 다른 컴퓨터의 서비스에 원활하게 액세스할 수 있도록 하는 프로세스 간 통신 메커니즘을 제공합니다. 프로토콜 자체는 OSF(Open Software Foundation) RPC 프로토콜에서 파생되지만 일부 Microsoft 관련 확장이 추가되었습니다.
Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성인가요?
이 시점에서 이 문제는 아직 조사 중입니다. 조사가 완료되면 이 문제에 대한 보안 업데이트가 릴리스될 수 있습니다.
이 위협의 원인은 무엇인가요?
공격자는 특수하게 만들어진 악성 패킷을 취약한 머신에 보낼 수 있으며, 이로 인해 서비스 거부 상태가 제한될 수 있습니다.
공격자가 이 함수를 사용하여 수행할 수 있는 작업은 무엇인가요?
공격자는 특수하게 만들어진 악성 패킷을 취약한 머신에 보낼 수 있으며 이로 인해 서비스 거부 상태가 제한될 수 있습니다.
제안된 작업
해결 방법
Microsoft는 다음 해결 방법을 테스트했습니다. 이러한 해결 방법은 기본 취약성을 수정하지 않지만 알려진 공격 벡터를 차단하는 데 도움이 됩니다. 해결 방법으로 기능이 감소하면 다음 섹션에서 식별됩니다.
이 취약성을 악용하려는 익명 네트워크 기반 연결 시도로부터 보호하려면 RestrictAnonymous 레지스트리 설정을 보다 제한적인 설정으로 구성합니다.
기본적으로 Windows 2000에서는 RestrictAnonymous 항목이 0 값으로 설정되어 익명 사용자를 제한하지 않습니다. 레지스트리 항목을 값 2로 설정하면 익명 사용자는 명시적 익명 권한 없이는 액세스할 수 없습니다. Windows 2000에서 RestrictAnonymous 레지스트리 항목을 사용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 246261 참조하세요.
해결 방법의 영향: RestrictAnonymous 레지스트리 값이 2로 설정된 경우 인증되지 않은 사용자를 위해 빌드된 액세스 토큰에는 Everyone 그룹이 포함되지 않으며, 이로 인해 액세스 토큰은 더 이상 모든 사용자 그룹에 권한을 부여하는 리소스에 액세스할 수 없습니다. 이는 타사 프로그램뿐만 아니라 많은 Windows 2000 서비스가 익명 액세스 기능을 사용하여 합법적인 작업을 수행하기 때문에 원치 않는 동작을 일으킬 수 있습니다.
방화벽에서 다음을 차단합니다.
- UDP 포트 135, 137, 138 및 445 및 TCP 포트 135, 139, 445 및 593
- 1024보다 큰 포트의 모든 원치 않는 인바운드 트래픽
- 특별히 구성된 다른 모든 RPC 포트
- 설치된 경우 포트 80 및 443에서 수신 대기하는 HTTP를 통한 COM CIS(Internet Services) 또는 RPC
이러한 포트는 RPC와의 연결을 시작하는 데 사용됩니다. 방화벽에서 차단하면 해당 방화벽 뒤에 있는 시스템이 이 취약성을 악용하려는 시도를 방지하는 데 도움이 됩니다. 또한 원격 시스템에서 특별히 구성된 다른 RPC 포트를 차단해야 합니다. 다른 포트를 사용할 수 있는 공격을 방지하려면 인터넷에서 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. RPC에서 사용하는 포트에 대한 자세한 내용은 다음 웹 사이트를 참조하세요. CIS를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 825819 참조하세요.
이 취약성을 악용하려는 네트워크 기반 시도로부터 보호하려면 Windows XP 서비스 팩 1에 포함된 인터넷 커넥트ion 방화벽과 같은개인 방화벽을 사용합니다.
기본적으로 Windows XP 서비스 팩 1의 인터넷 커넥트ion 방화벽 기능은 원치 않는 들어오는 트래픽을 차단하여 인터넷 연결을 보호하는 데 도움이 됩니다. 인터넷에서 들어오는 모든 원치 않는 통신을 차단하는 것이 좋습니다.
연결에 대해 인터넷 커넥트ion 방화벽을 수동으로 구성하려면 다음 단계를 수행합니다.
- 시작을 클릭한 다음 제어판을 클릭합니다.
- 기본 범주 보기에서 네트워킹 및 인터넷 커넥트온을 클릭한 다음 네트워크 커넥트을 클릭합니다.
- 인터넷 커넥트온 방화벽을 사용하도록 설정할 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
- 고급 탭을 클릭합니다.
- 인터넷 검사 상자에서 이 컴퓨터에 대한 액세스를 제한하거나 차단하여 컴퓨터 또는 네트워크 보호를 클릭하여 선택한 다음 확인을 클릭합니다.
참고 특정 프로그램 및 서비스가 방화벽을 통해 통신할 수 있도록 하려면 고급 탭에서 설정 클릭한 다음 프로그램, 프로토콜 및 필요한 서비스를 선택합니다.
이 취약성을 악용하려는 네트워크 기반 시도로부터 보호하려면 이 기능을 지원하는 시스템에서 고급 TCP/IP 필터링을 사용하도록 설정합니다.
고급 TCP/IP 필터링을 사용하도록 설정하여 원치 않는 모든 인바운드 트래픽을 차단할 수 있습니다. TCP/IP 필터링 을 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 309798 참조하세요.
이 취약성을 악용하려는 네트워크 기반 시도로부터 보호하려면 영향을 받는 시스템에서 IPsec을 사용하여 영향을 받는 포트를 차단합니다.
IPsec(인터넷 프로토콜 보안)을 사용하여 네트워크 통신을 보호합니다. IPsec 및 필터 적용 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 313190 및 Microsoft 기술 자료 문서 813878.
이 취약성의 영향을 받았다고 생각하는 미국 및 캐나다 고객은 1-866-PCSAFETY의 Microsoft 제품 지원 서비스에서 기술 지원을 받을 수 있습니다. 보안 업데이트 문제 또는 바이러스와 관련된 지원에는 요금이 부과되지 않습니다." 국제 고객은 보안 도움말 및 홈 사용자 지원 웹 사이트에 나열된 방법을 사용하여 지원을 받을 수 있습니다. 모든 고객은 Microsoft에서 릴리스한 최신 보안 업데이트를 적용하여 시스템이 악용 시도로부터 보호되도록 해야 합니다. 자동 업데이트 사용하도록 설정한 고객은 모든 Windows 업데이트를 자동으로 받습니다. 보안 업데이트에 대한 자세한 내용은 Microsoft 보안 웹 사이트를 방문 하세요.
PC 보호
고객이 방화벽을 사용하도록 설정하고, 소프트웨어 업데이트를 받고, 바이러스 백신 소프트웨어를 설치하는 PC 보호 지침을 따르도록 계속 권장합니다. 고객은 PC 웹 사이트 보호를 방문하여 이러한 단계에 대해 자세히 알아볼 수 있습니다.
인터넷에서 안전하게 지내는 방법에 대한 자세한 내용은 Microsoft 보안 홈페이지를방문하세요.
시스템 업데이트 유지
모든 Windows 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Windows 업데이트 웹 사이트를 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. 자동 업데이트 사용하도록 설정된 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 설치해야 합니다.
기타 정보
리소스:
- 다음 웹 사이트를 방문하여 양식을 작성하여 피드백을 제공할 수 있습니다.
- 미국과 캐나다의 고객은 Microsoft 제품 지원 서비스에서 기술 지원을 받을 수 있습니다. 사용 가능한 지원 옵션에 대한 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조 하세요.
- 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. Microsoft에 국제 지원 문제를 문의하는 방법에 대한 자세한 내용은 국제 지원 웹 사이트를 방문 하세요.
- Microsoft TechNet Security 웹 사이트는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
고지 사항:
이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.
개정:
- 2005년 11월 16일: 공지
- 2005년 11월 18일: CVE를 참조하고 이 문제가 Windows 2000 서비스 팩 4에서 익명으로 악용할 수 있음을 명확히 하기 위해 권고가 업데이트되었습니다.
2014-04-18T13:49:36Z-07:00에 빌드