RPCSS 서비스의 버퍼 오버런으로 인한 코드 실행 문제
▣ 개요 보안패치를 설치하지 않은 시스템에 대하여 침입자가 원하는 코드가 실행될 수 있습니다.이번 취약점을 이용한 웜이 출현할 경우 Lovesan 웜과 같이 인터넷을 통해 빠르게 확산되어 서비스거부공격을 야기하거나, 사용자 권한을 획득하여 중요한 정보 유출 및 시스템 파괴 등을 수행할수 있는 가능성이 있습니다.
▣ 대상 Windows NT 4.0이상, Windows 2000, Windows XP, Windows 2003 을 사용하는 모든사용자
▣ 적용제외대상 Windows Me, Windows 9X(95, 98) 사용자
▣ 위험등급 MS사(Microsoft사)에서는 최대위험등급을 긴급으로 명시하고 있습니다.
▣내용원격 프로시저 호출 (RPC)은 Windows 운영 체제에서 사용하는 프로토콜입니다. 윈도우는 RPC를 사용하면 특정 컴퓨터에서 실행되는 프로그램에서 다른 컴퓨터의 서비스를 완벽하게 액세스할 수 있게 해주는 프로세스 간 통신(IPC) 메커니즘을 구현하여 사용하고 있으며 DCOM 활성화에 대한 RPC 메시지를 처리하는 RPCSS 서비스 부분에서 세 가지 취약점이 확인되었습니다.두 가지는 임의의 코드가 실행될 수 있으며 나머지 하나는 서비스 거부를 발생시킬 수 있습니다 침입자는 RPCSS 서비스를 이용한 프로그램을 제작, 특수한 RPC메세지를 취약점이 노출된 시스템으로 보냄으로써 해당 로컬 시스템 권한을 획득 이 권한을 사용하여 코드를 실행하거나 RPCSS 서비스에 장애를 일으킬 수 있습니다. 그런 다음 침입자는 프로그램 설치, 변경 사항 보기나 데이터 삭제 또는 모든 권한을 가진 새 계정 만들기 등의 원하는 작업을 해당 시스템에서 수행할 수 있습니다.MS사의 기술지원 사이트에서는 실제로 사용하지 않는 모든 포트를 차단하도록 권장하고 있습니다. 이런 이유로 인터넷에 연결된 대부분의 시스템은 노출되는 포트의 수를 최소한으로 유지해야 합니다. 현재 나온 이번 보안패치(MS03-039)는 MS03-026에서 제공되는 패치(이전 RPC버퍼오버런 보안패치)는 물론 MS01-048에서 제공되는 패치를 완전히 대체함을 명시하고 있습니다.*국내 참고 사이트
[보안권고문(한국정보보호진흥원)] *MS기술 지원 사이트
[MS사 기술지원문서 (한글)] [MS사 기술지원문서 (영문)] *패치파일 다운로드
[Windows NT 4.0 (서버)] [Windows 2000 (한글)] [Windows XP (한글)] [Windows 2003 (한글)] [기타 OS]