MS RPC 취약점 패치에 결함이 있다고 합니다.
가장 확실한 방법은 추가 패치가 나올때까지 TCP 135 Port 를 차단 하는 것입니다.
개인 방화벽을 사용하시는 분들은 TCP 135 incoming 을 차단하시기 바랍니다.
① 방화벽에서 135번 포트를 차단
135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용되며, 방화벽에서 135번 포트를 차단하면 이 취약점을 악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있다.
② 인터넷 연결 방화벽
인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는 경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단된다.
-----Original Message-----
From: owner-sec-info@firebird.certcc.or.kr [mailto:owner-sec-info@firebird.certcc.or.kr] On Behalf Of 서병국
Sent: Tuesday, July 29, 2003 2:33 PM
To: sec-info@cert.certcc.or.kr
Subject: [긴급] MS03-026 MSRPC 보안패치 결함이 존재합니다.
안녕하십니까, 인포섹(주) CERT 서 병국입니다.
지난 MS03-026 MS RPC DoS 공격 취약점에 대한 Hotfix가 발표되었습니다. 이와 관련하여
여러 Exploit Code가 공개되었습니다. 이 중 한가지 Exploit Code는 패치가 적용되어 있더라도 RPC 서비스를 중단시킬 수 있다는 것을
확인하였습니다. 즉 KB823980 Hotfix는 MS RPC 취약점을 완벽하게 제거하지 못하는 결함이 존재합니다.
위와 다르게 RPC의 또 다른 취약점이라고 판단될 수 있습니다.
(전자신문 기사 참조)
따라서
NetBIOS 포트를 명확하게 허용되는 것을 제외하고 모두 침입차단시스템 등 ACL을 통해 막는 것을 권고합니다.
그리고, 추후 MS에서 발표하는 Hotfix를 기다려야 할 것입니다.
[전자신문]
http://www.etnews.co.kr/news/detail.xml?id=200307280184
[Exploit 공격 후 나타나는 System Event]
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7031
Date: 7/24/2003
Time: 4:59:27 PM
User: N/A
Computer: SKCC115883-3
Description:
The Remote Procedure Call (RPC) service terminated unexpectedly.
It has done this 1 time(s).
The following corrective action will be taken in 0 milliseconds: No action.
Event Type: Error
Event Source: DCOM
Event Category: None
Event ID: 10010
Date: 7/24/2003
Time: 7:34:16 PM
User: NT AUTHORITY\SYSTEM
Computer: SKCC115883-3
Description:
The server {8BC3F05E-D86B-11D0-A075-00C04FB68820} did not register with DCOM within the required timeout.
가장 확실한 방법은 추가 패치가 나올때까지 TCP 135 Port 를 차단 하는 것입니다.
개인 방화벽을 사용하시는 분들은 TCP 135 incoming 을 차단하시기 바랍니다.
① 방화벽에서 135번 포트를 차단
135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용되며, 방화벽에서 135번 포트를 차단하면 이 취약점을 악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있다.
② 인터넷 연결 방화벽
인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는 경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단된다.
-----Original Message-----
From: owner-sec-info@firebird.certcc.or.kr [mailto:owner-sec-info@firebird.certcc.or.kr] On Behalf Of 서병국
Sent: Tuesday, July 29, 2003 2:33 PM
To: sec-info@cert.certcc.or.kr
Subject: [긴급] MS03-026 MSRPC 보안패치 결함이 존재합니다.
안녕하십니까, 인포섹(주) CERT 서 병국입니다.
지난 MS03-026 MS RPC DoS 공격 취약점에 대한 Hotfix가 발표되었습니다. 이와 관련하여
여러 Exploit Code가 공개되었습니다. 이 중 한가지 Exploit Code는 패치가 적용되어 있더라도 RPC 서비스를 중단시킬 수 있다는 것을
확인하였습니다. 즉 KB823980 Hotfix는 MS RPC 취약점을 완벽하게 제거하지 못하는 결함이 존재합니다.
위와 다르게 RPC의 또 다른 취약점이라고 판단될 수 있습니다.
(전자신문 기사 참조)
따라서
NetBIOS 포트를 명확하게 허용되는 것을 제외하고 모두 침입차단시스템 등 ACL을 통해 막는 것을 권고합니다.
그리고, 추후 MS에서 발표하는 Hotfix를 기다려야 할 것입니다.
[전자신문]
http://www.etnews.co.kr/news/detail.xml?id=200307280184
[Exploit 공격 후 나타나는 System Event]
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7031
Date: 7/24/2003
Time: 4:59:27 PM
User: N/A
Computer: SKCC115883-3
Description:
The Remote Procedure Call (RPC) service terminated unexpectedly.
It has done this 1 time(s).
The following corrective action will be taken in 0 milliseconds: No action.
Event Type: Error
Event Source: DCOM
Event Category: None
Event ID: 10010
Date: 7/24/2003
Time: 7:34:16 PM
User: NT AUTHORITY\SYSTEM
Computer: SKCC115883-3
Description:
The server {8BC3F05E-D86B-11D0-A075-00C04FB68820} did not register with DCOM within the required timeout.
'정보기술 > 일반' 카테고리의 다른 글
| <b>Remote Desktop Protocol (RDP) Client</b> (4) | 2003.08.12 |
|---|---|
| [제품] Car Inverter 카 인버터 (0) | 2003.08.01 |
| [정보] 하기와라시스콤, 메모리 스틱 IO대응 무선 LAN 카드 등을 전시 (0) | 2003.07.28 |
| [보안] RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제 (0) | 2003.07.28 |
| [제품] AC to USB Adapter, DC to USB Adapter (0) | 2003.07.23 |
