출처/안철수 연구소 홈페이지

<자세한 사항은 안철수 연구소 홈페이지를 참조하세요.(http://home.ahnlab.com/)>

지난 7월 16일(미국 기준) 발표된 윈도우의 RPC 취약점을 이용하는 실제 공격 코드가 25일 중국에서 처음 발표된 데 이어 26일에는 이를 더욱 강화한 공격 코드가 미국에서(추정)발표되어 주의가 요망된다.

국내 최대 보안 전문 기업 안철수연구소(www.ahnlab.com)는 윈도우 XP/2000/NT 등을 공격하는 코드가 실제 발표됨에 따라 해당 운영체계 사용자는 반드시 MS사 웹사이트에서 해당 취약점을 보완한 파일인 핫픽스(Hotfix)를 적용해야 한다고 26일 권고했다.

이번에 발표된 공격 코드는 마이크로소프트 윈도우 XP/2000/NT 계열 등에 기본 포함된 RPC(Remote Procedure Call; 윈도우에서 원격 시스템의 서비스를 사용할 수 있도록 해주는 프로토콜)의 버퍼 오버플로우(Buffer Overflow) 취약점을 이용한 것이다. 공격자는 이 코드를 이용해 다른 시스템의 제어 권한을 획득해 데이터 삭제나 사용자 계정 생성 등을 마음대로 할 수 있다.

1.25 인터넷 대란의 원인인 SQL_Overflow 웜이 SQL 서버 또는 MSDE 가 설치된 환경에서만 문제를 일으키는 데 반해 이번 공격 코드는 윈도우 XP/2000/NT를 기본적인 공격 대상으로 삼기 때문에 공격 범위가 더 넓다.

안철수연구소 시큐리티대응센터에서 분석 테스트한 결과 공격받은 컴퓨터는 원격지의 공격자가 임의의 명령어를 수행할 수 있는 관리자 권한을 획득할 수 있으며, 해당 컴퓨터는 RPC 서비스가 중지되는 현상이 나타났다. 이 경우, 재부팅을 하면 정상적인 서비스가 가능하지만 반복적으로 공격 받을 가능성을 근본적으로 차단하려면 MS사의 웹사이트에서 핫픽스(Hotfix)를 적용해야 한다.

그리고 더 안전한 보안을 위해 PC 방화벽을 설치해 외부의 RPC 접근 요청을 차단하고, 네트워크 관리자는 외부에서 UDP(보충 설명 참고) 135 번과 TCP(보충 설명 참고) 135, 139, 445, 593 번 포트를 막을 것을 권고했다.

조기흠 시큐리티대응센터장은 "앞으로 유사한 공격 코드가 추가 제작될 것으로 예측하며 이번 공격 코드를 악용한 웜이 제작될 가능성도 있어 주의가 필요하다."고 설명했다.

[보충 자료]

1) UDP : User Datagram Protocol. IP를 사용하는 네트워크 내에서 컴퓨터들 간 메시지가 교환될 때 제한된 서비스만을 제공하는 통신 프로토콜

2) TCP Transmission Control Protocol : 인터넷 상의 컴퓨터 사이에서 데이터를 메시지의 형태로 보낼 때 IP와 함께 사용되는 프로토콜

3) 공격 가능 운영체계
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows 2003

4) 공격 프로세스
취약점은 RPC에서 TCP/IP를 통한 메시지 교환을 처리하는 과정 중 비정상적인 데이터를 처리하는 방식에서 발견되었다. 공격자는 RPC 프로토콜에서 사용하는 135번 포트를 통해 특수 제작된 패킷을 전송함으로써 취약점이 있는 시스템에 버퍼 오버플로우를 발생할 수 있다. 이를 통해 원격에서 공격자가 의도하는 코드를 실행할 수 있고 그 결과 공격자는 시스템 권한을 획득하게 된다. 공격이 성공하면 시스템 내 데이터 삭제나 사용자 계정 생성을 할 수 있다.

5) 운영체계별 Hotfix 파일 경로 URL

- Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko

- Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

- Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko

- Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko

- Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

- Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko

- Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

보도자료
2003/07/26