문 서 ID
KA2003071

최초작성일
2003-10-16

갱  신  일
2003-10-16

출      처
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp

작  성  자
이완희

제      목
Buffer Overrun in Messenger Service  취약점

해당시스템
Windows XP

Windows NT/2000

Windows 2003

영      향
이 취약점을 이용하여 원격의 공격자가 Messenger Sevice를 다운시킬 뿐만 아니라 임의의 코드를 실행하는 것이 가능하기 때문에 시스템 관리자 권한을 획득할 수 있다.

설      명
윈도우즈 시스템에서 사용하는 Messenger Service는 프린터 작업에서 사용자에게 프린터 작업종료 메시지나 관리자가 사용자에게 시스템 재부팅 관련 사항을 전달할때 사용하는 서비스로써 최근에는 메신져 스팸으로 많이 이용되는 서비스이다.



이 서비스가 할당된 버퍼로 보내는 메시지의 크기를 유효하게 점검하지 않아 버퍼오버런이 발생하며 이를 악용하면 서비스 다운은 물론 시스템 관리자 권한까지 획득하여 파일 변조 삭제가 가능하다.



이 서비스는 Windows NT, Windows 2000, Windows XP시스템은 디폴트로 Messenger Service가 시작되므로 취약하며 Windows 2003 시스템은 디폴트로 시작되지 않으므로 임의 적으로 실행하지 않는 한 취약하지는 않다.

해  결  책
아래의 3가지 중 하나만 실행해도 가능하나 3가지 모두를 적용 하기를 권한다.



1. 메신져 서비스를 중지 시킨다.



    <시작> -> ( <설정> ) -> <제어판> -> <관리도구> -> <서비스>에서 Messenger 항목을 찾아서 중지 한후 시작유형부분에서 사용안함을 선택하고 적용한다.



2. 패치를 적용한다.

    

Microsoft Windows NT Workstation 4.0, Service Pack 6a

http://www.microsoft.com/downloads/details.aspx?FamilyId=7597FCF4-6615-4074-9E46-A17D808ED38D&displaylang=en



Microsoft Windows NT Server 4.0, Service Pack 6a

http://www.microsoft.com/downloads/details.aspx?FamilyId=B1949456-996A-485A-9A28-79FD79F26A1B&displaylang=en



Microsoft Windows NT Server 4.0, Terminal Server Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=64AB4B66-1A6E-4264-93A8-26CDB98B05A8&displaylang=en



Microsoft Windows 2000, Service Pack 2

http://www.microsoft.com/downloads/details.aspx?FamilyId=A0061377-1683-4C13-9527-5534F6C7CF85&displaylang=en



Microsoft Windows 2000, Service Pack 3, Service Pack 4

http://www.microsoft.com/downloads/details.aspx?FamilyId=99F1B40D-906A-4945-A021-4B494CCCBDE0&displaylang=en



Microsoft Windows XP Gold, Service Pack 1 (한글 Windows XP 사용자)

http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en



Microsoft Windows XP 64-bit Edition (영문 Windows XP 사용자)

http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en



Microsoft Windows XP 64-bit Edition Version 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en



Microsoft Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=1DF106F3-7EC4-4EB0-9143-C1E3C9E2F5F8&displaylang=en



Microsoft Windows Server 2003 64-bit Edition

http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en

    

3. Windows XP/2003인 경우 방화벽 기능을 사용한다.



    <시작> -> <제어판> -> <네트워크연결> -> <로컬영역연결> -> <로컬영역연결 속성선택> -> <고급탭 선택> -> <인터넷 연결 방화벽 체크> -> <확인>

참조사이트
·Messenger 서비스 중지 방법

   http://www.spamcop.or.kr/popup_1224.html

·X-Force

   http://xforce.iss.net/xforce/alerts/id/156