IIS 웹서버 없어도 윈도 2000 공격가능.. 영국 보안업체 NGS

마이크로소프트 웹서버인 인터넷 인포메이션 시스템(IIS)의 취약점을 이용하지 않아도 윈도2000 서버에 대해 버퍼오버플로우(Buffer Overflow) 공격을 일으킬 수 있다는 주장이 제기됐다.

그동안 마이크로소프트를 비롯해 정통부, 한국정보보호진흥원 등은 "윈도 2000 계열의 웹서버인 IIS에 보안 취약점이 발견됐다"고 발표하면서 그 원인은 "IIS 웹서버의 컴포넌트를 운영하는 프로토콜인 WebDAV에서 버퍼오버플로우 취약점이 발견됐기 때문"이라고 설명해왔다.

이는 해킹 위협은 IIS 웹서버가 구동되는 호스트 컴퓨터만 영향을 받을 것이라는 의미였다.

그러나 영국보안업체 NGS Software는 최근 IIS 웹서버를 이용하지 않고도 공격을 일으킬 수 있는 ntdll.dll과 관련된 추가 잠재공격에 대한 연구문서를 발표했다.

NGS사는 '1.25'인터넷 대란의 발단이 된 '슬래머' 제작자가 참고한 기술문서를 작성한 회사. '슬래머'웜은 지난 해 NGS가 발표한 'SQL 서버 취약점을 이용해 악성 공격을 가할 수 있다'는 기술 문서에 기반해 만들어졌다.

이와관련, 국내 침입탐지시스템(IDS) 개발업체인 정보보호기술(대표 민병태 www.infosec.co.kr)의 CERT(침해사고대응팀)는 23일 NGS 발표 내용을 인용, "취약성의 범위는 이제 더 이상 IIS 웹서버가 동작중인 호스트에 있지 않다"고 발표했다.

◆발생일시와 사건개요

-2003년 3월 18일 최초 발견.

-2003년 3월 22일 Update.

NGS Software는 IIS 웹서버와 관련이 없는 추가적인 공격 요소에 대해 자세한 연구내용을 발표했다.

Microsoft Windows 2000에서 ntdll.dll 파일은 불충분한 범위 체크(Bounds Checking)을 수행하는 함수를 포함하고 있다.

이 함수는 RtlDosPathNameToNtPathName_U 이며, 이 함수를 이용하는 모든 프로그램을 통해 공격이 일어날 수 있다. 이것의 최초 공격 형태는 앞서 지난 18일에 발표한 사건보고서인 'WebDAV Buffer Overflow'취약성이다. 현재 이 공격방법은 널리 알려져 있는 것으로 보고되고 있다.

WebDAV 요청 패킷이 'Traslate:f' 헤더를 포함하고, HTTP 명령어를 나타내는 Method중에서 'PROPFIND', 'LOCK', 'SEARCH', GET' 등을 이용하여 만들어 지는 경우, 이 패킷을 IIS 서버가 전송받으면 'GetFileAttributesExw'함수가 호출된다.

이 함수는 ntdll.dll파일의 취약한 함수 RtlDosPathNameToNtPathName_U 를 호출하게 된다. WebDAV 요청 패킷에 대해 적절한 범위체크가 이루어지지 않게 되어 버퍼 오버플로우를 일으키게 된다. 이 버퍼오버플로우로 인해 웜이나 백도어의 원인이 되는 임의의 코드가 실행될 수 있다.

다음은 잠재적인 공격이 될 수 있는 RtlDosPathNameToNtPathName_U 함수를 호출하는 Library 함수다.

GetShortPathNameWCopyFileWMoveFileWMoveFileExWReplaceFile

WCreateMailslotWGetFileAttributesWFindFirstFileExWCreateFile

WGetVolumeInformationWDeleteFileWGetDriveTypeWGetFileAttributesEx

WCreateDirectoryWFindFirstChangeNotificationWGetBinaryType

WCreateNamedPipeWSetFileAttributesWMoveFileWithProgress

WGetVolumeNameForVolumeMountPointWGetDiskFreeSpace

WCreateDirectoryExWDefineDosDeviceWPrivMoveFileIdentity

WGetCompressedFileSizeWSetVolumeLabelWCreateHardLink

WRemoveDirectoryW

자세한 내용은 NGS Software사에서 제공하는 보고서에 있다.(http://www.nextgenss.com/papers/ms03-007-ntdll.pdf)

위 공격은 위험한 웜의 원인이 될 수 있는 취약성이므로 관리자는 반드시 마이크로소프트사에서 제공하는 패치를 적용해야 한다.

◆참조사이트

Microsoft Microsoft Security Bulletin MS03-007http://microsoft.com/technet/security/bulletin/MS03-007.asp

Microsoft Knowledge Base Article 241520 - How to Disable WebDAV for IIS 5.0http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B241520

New Attack Vectors and a Vulnerability Dissection of MS03-007http://www.nextgenss.com/papers/ms03-007-ntdll.pdf

CERT? Advisory CA-2003-09 Buffer Overflow in Microsoft IIS 5.0http://www.cert.org/advisories/CA-2003-09.html

IIS의 WebDAV나 웹서버 기능을 제한하는 IIS LockDown의 사용방법 참조 사이트 :http://www.microsoft.com/downloads/release.asp?ReleaseID=43955

이 취약성을 공격하는 요청을 막기 위해 사용하는 URLScan 툴에 대한 설명 사이트 :http://www.microsoft.com/technet/security/tools/tools/urlscan.asp

(02)2142-0999.