[이길환] IIS 웹서버 보안 취약점에 관한 기술문서

정보통신부와 한국정보보호진흥원은 지난 18일 MS 윈도 2000 계열의 웹서버인 IIS(인터넷 인포메이션 시스템)에 보안 취약점이 발견돼 긴급히 보안 패치를 해야 한다고 발표한 바 있다.

아래 보고서는 이번에 문제가 된 IIS의 컴포넌트를 운영하는 프로토콜인 'WebDAV'에서 발견된 버퍼오버플로우 취약점에 대해 기술적으로 분석한 내용이다.

◆WebDAV (World Wide Web Distributed Authoring and Versioning) 란 무엇인가

'WebDAV'는 웹상의 공동개발을 지원하기 위한 IETF 표준안(RFC 2518)으로서, 원격지 사용자들 간에 인터넷 상에서 파일을 공동 편집하고 관리할 수 있도록 해준다.

원격 그룹들 간에 새로운 방식으로 공동 작업을 가능하게 함으로써, 공동작업 원격개발 효과를 가질 것을 목표로 만들어졌고, 웹상에서 소프트웨어를 개발하고 개발정보를 공유하기위해 'WebDAV'에 해당하는 여러 컴포넌트를 사용하도록 설계됐다.

'WebDAV' 작업그룹은 W3C 응용 부문의 일부로서, 이 그룹의 설립 취지는 "사용자 요구를 지원하는 동시에 광범위한 공동 이용이 가능한 분산 웹 저작도구를 가능케 하는 HTTP 확장판을 정의하기 위한 목적을 가지고 있다"고 정의돼 있다.

또 HTTP가 기본적으로 가지고 있는 읽기 속성에다가 쓰기 속성을 추가함으로써, 웹을 통한 공동 개발에 대한 문제점들을 해결하기에 충분한것으로 알려져 있다.

◆어떻게 'WebDAV' 취약점을 이용했는가?

해커는 위와 같은 http의 확장기능인 'WebDAV'의 구조적 특성을 잘 이해하고 이에 따른 취약성을 발견했다.

3월16일 미국에셔 처음 발견됐는데, 'WebDAV'는 HTTP와 같은 웹 운영 프로의 확장된 형태이므로 IIS를 설치할 때 기본으로 설치되기 때문에 해커는 동시성 제어라고 불리는 파일 잠금 기능을 수행할 수 있게 된다.

그후 공격자는 이 기능을 이용하여 웹서버를 멈추게 하거나 원격지에서 원하는 명령어를 실행시키는 등 외부에서 마음대로 조정할 수 있게 되는 것이다.

더욱이 DAV 프로토콜은 해당파일의 속성을 설정하거나 삭제 및 검색등을 원격에서 가능하도록 되어 있다.

따라서 'WebDAV'가 가지고 있는 `버퍼오버플로우` 취약점을 이용하여 출발지에서 2680 바이트 버퍼오버플로우 익스플로리잇 형식의 HTTP 요청을 보냄으로써 원격지 DASL 포로토콜이 웹상에서 대략 10~20회 정도 공격코드를 순차적으로 받으면 이 요청은 서버에서 오류를 일으키게 된다.

그 때 정해진 코드를 실행하도록 코드가 IIS 서비스의 보안 컨텍스트에서 실행되는데, DASL이 속성값을 확인하는 과정을 설정하지 않았은것으로 판단하고 IIS버젼에 따라 402바이트나179바이트를 되돌려보낸다.

'WebDAV'의 특성으로 모든 권한을 풀어놓는 취약점이 ntdll.dll 파일에 손상을 입혀 IIS다운되었다가 다시 살아나는 행위를 공격자가 그만 할때까지 계속하게 되는 것이다.

이 취약점은 침입자가 영향을 받는 서버와 웹 세션을 구축할 수 있을 경우에만 원격으로 악용될 수 있다

◆알려진 공격인가

2000년 10월 14일자 한국침해사고대응팀(CERTCC-KR) 권고문(KA-2000-35)을 보면 Microsoft IIS 5.0에서 인가되지 않은 사용자에게 디렉토리의 리스트를 보여주는 취약점이 있다고 나와있다.

서버가 원격 사용자에게 웹 페이지의 루트 디렉토리와 전체 서브 디렉토리 및 숨겨진 디렉토리나 include 파일( .inc)등이 노출될수 있으며 .inc 파일에 데이터베이스 사용자 이름과 패스워드가 포함되어 있다면 웹사이트가 악의적인 사용자에게 완전히 노출되는 것과 같으니 Index Server를 사용하지 않는다면 Indexing 서비스는 활성화시키지 말고, Index Server를 사용할 경우 디렉토리 안의 중요한 파일을 인덱스하지 않거나 read 권한을 지우라는 것이다.

2001/08/31일자 CERTCC-KR 권고문(KA-2001-058)에도 IIS 4.0 혹은 ISS 5.0에서 Dos(서비스거부) 공격 혹은 상위권한 획득을 일으키는 취약점이 간단히 서비스 거부 공격에 악용될 수 있다고 했다.

◆왜 또 발생한 것인가

잘못된 권고안을 냈거나 일부 취약점 패치를 제공했거나 공격자가 'WebDAV'의 새로운 취약점을 찾았을 가능성이 있다. 또 국제망을 타고 들어오면서 서서히 같이 퍼지기 시작했을것으로 추정된다.

◆어떻게 해야 하는가

1)적용대상-Microsoft Windows 2000 Advanced Server

-Microsoft Windows 2000 Professional

-Microsoft Windows 2000 Server

2)소프트웨어

-Microsoft Windows 2000 계열

3)예방 방법:

IIS Lockdown 도구의 일부인 URLScan은 기본 구성 자체에서 이러한 공격을 차단한다.

-http://www.microsoft.com/korea/technet/security/URLScan.asp

-http://www.microsoft.com/korea/technet/security/tools/locktool.asp