1. 들어가기에 앞서
지난 7월 중순경 MS-RPC(DCOM)에
취약점이 발견되었습니다. 현재 공격 프로그램이 공개된 상태이며,
공격이 증가하고 있습니다.
WindowsNT/2000/XP를 사용하는 사용자들은 반드시
패치하여 주십시오.
바이러스로 개발될 경우, 1.25대란과 같은 문제로
발전할 수 있으므로 아래 사항을 반드시 확인하시기 바랍니다.
2. 해당 시스템
Windows NT 4.0
Windows 2000
Windows XP
Windows 2003
3. 내용
DCOM인터페이스에 버퍼오버플로우
취약점이 발견되었습니다.
공격자는 조작된 RPC패킷을 135,139,445번 포트로 보내어
대기상태에 있는 DCOM 인터페이스를 공격할 수 있습니다.
이 공격으로인해 공격자는 공격대상 PC 및 서버의 관리자 권한을
얻을 수 있습니다.
4. 증상
버퍼오버플로우로인해 Windows가
종료되거나 공격자에게 제어권을 넘겨줄 수 있다.
5. 대응방법
(1) Win32/Blaster.worm.6176 전용솔루션 이용하여
치료/예방하기
- 안철수연구소에서는 MS RPC 버퍼 오퍼플로우 취약점을 진단하고,
Win32/Blaster.worm.6176 (MS03-026)을 진단하고 치료할 수 있는
전용솔루션을 제작하여 배포하고 있습니다.
* AhnLab RPC Scanner (네트워트 관리자용)
- 특정 IP 대역을 지정하여 MS RPC 버퍼 오버플로우 보안 취약점
(MS03-026)에 대한 패치여부를 확인하여 보여주는 기능을 가지고
있습니다. AhnLab RPC Scanner를 이용하여 패치가 적용되지
않은 시스템을 찾아, 패치를 적용해 주시기 바랍니다.
- RPC Scanner를 실행한 후, 검사하고자 하는 IP대역을 입력하고
‘Scan’을 클릭하여 검사하시기 바랍니다.
검사결과는 CSV 파일로도 저장이 가능합니다.
검사한 결과에 따라 다음과 같이 조치해 주시기 바랍니다.
* Not Vulnerable : MS RPC 버퍼 오버플로우 취약점(MS03-026)이
없는 안전한 시스템
* Vulnerable : MS RPC 버퍼 오버플로우 취약점(MS03-026)이 존재하는
위험한 시스템. 패치 필요
* Unknown : 135번 포트가 막혀 있거나 네트워크 에러로 인해 확인이
안되는 시스템
(2) V3 제품을 최신엔진으로 업데이트하기
- 사용중인 V3 제품으로 최신엔진(2003.08.12.00)으로 업데이트한 후
시스템감시를 실행하고 시스템을 사용하십시오.
(3) 시스템이 재부팅되는 현상 수동으로 조치하기
① 네트워크 선을 뽑고 윈도우 부팅시 [F8] 을 눌러 "안전모드"로 부팅한다.
② "윈도우 작업 관리자" ( Ctrl+Alt+Del 를 동시에 누른 후 작업 관리자(T)
선택)를 선택 후 프로세스에서 MSBlast.exe 파일을 찾아 종료 시킨다.
③ 탐색기에서 TFTP.EXE 파일의 찾아 이름을 다른 이름 ( 예. TFTP.EX_ )으로
변경한다. 이는 웜이 TFTP.EXE 를 통해 전파되므로 TFTP.EXE 의 실행을
막으면 웜이 해당 시스템으로 전파되는 과정을 막을 수 있다. 하지만,
RPC DCOM 취약성 공격자체를 막을 수는 없다.
④ 탐색기에서 MSBLAST.EXE 파일을 찾아 삭제한다.
보기(V) → 탐색 창(E) → 검색(S)의 파일 및 폴더 찾기에서 MSBLAST.EXE
선택한다.
⑤ 찾은 MSBLAST.EXE 파일 삭제을 삭제한다.
⑥ 감염되지 않은 시스템에서 사용하는 OS 버전에 맞는 다음 패치를 다운 받아
플로피 디스크 등에 담아 복사한다.
⑦ 감염된 시스템을 재부팅한 후 플로피 디스크에 담은 패치를 하드디스크로
복사한다.
⑧ 복사한 패치파일을 실행하여 패치를 적용한 후 네트워크 선을 꽂고 재부팅 한다.
⑨ 3번에서 변경한 파일의 이름을 다시 TFTP.EXE 로 수정한다.
[패치적용 방법]
1) 윈도우 [시작]-[Windows Update]메뉴를 선택합니다.
2) '업데이트 검색'을 선택합니다.
3) 설치할 중요 업데이트 항목에서 '823980' 를 선택하여 설치합니다.
이때 '823980' 뿐 아니라, 다른 보안 업데이트 항목도 함께 설치하기를
권장합니다.