웹마스터 팁
Buffer Overrun in Messenger Service 취약점
2003.10.20 11:30
문 서 ID
KA2003071
최초작성일
2003-10-16
갱 신 일
2003-10-16
출 처
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp
작 성 자
이완희
제 목
Buffer Overrun in Messenger Service 취약점
해당시스템
Windows XP
Windows NT/2000
Windows 2003
영 향
이 취약점을 이용하여 원격의 공격자가 Messenger Sevice를 다운시킬 뿐만 아니라 임의의 코드를 실행하는 것이 가능하기 때문에 시스템 관리자 권한을 획득할 수 있다.
설 명
윈도우즈 시스템에서 사용하는 Messenger Service는 프린터 작업에서 사용자에게 프린터 작업종료 메시지나 관리자가 사용자에게 시스템 재부팅 관련 사항을 전달할때 사용하는 서비스로써 최근에는 메신져 스팸으로 많이 이용되는 서비스이다.
이 서비스가 할당된 버퍼로 보내는 메시지의 크기를 유효하게 점검하지 않아 버퍼오버런이 발생하며 이를 악용하면 서비스 다운은 물론 시스템 관리자 권한까지 획득하여 파일 변조 삭제가 가능하다.
이 서비스는 Windows NT, Windows 2000, Windows XP시스템은 디폴트로 Messenger Service가 시작되므로 취약하며 Windows 2003 시스템은 디폴트로 시작되지 않으므로 임의 적으로 실행하지 않는 한 취약하지는 않다.
해 결 책
아래의 3가지 중 하나만 실행해도 가능하나 3가지 모두를 적용 하기를 권한다.
1. 메신져 서비스를 중지 시킨다.
<시작> -> ( <설정> ) -> <제어판> -> <관리도구> -> <서비스>에서 Messenger 항목을 찾아서 중지 한후 시작유형부분에서 사용안함을 선택하고 적용한다.
2. 패치를 적용한다.
Microsoft Windows NT Workstation 4.0, Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=7597FCF4-6615-4074-9E46-A17D808ED38D&displaylang=en
Microsoft Windows NT Server 4.0, Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=B1949456-996A-485A-9A28-79FD79F26A1B&displaylang=en
Microsoft Windows NT Server 4.0, Terminal Server Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=64AB4B66-1A6E-4264-93A8-26CDB98B05A8&displaylang=en
Microsoft Windows 2000, Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0061377-1683-4C13-9527-5534F6C7CF85&displaylang=en
Microsoft Windows 2000, Service Pack 3, Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=99F1B40D-906A-4945-A021-4B494CCCBDE0&displaylang=en
Microsoft Windows XP Gold, Service Pack 1 (한글 Windows XP 사용자)
http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en
Microsoft Windows XP 64-bit Edition (영문 Windows XP 사용자)
http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en
Microsoft Windows XP 64-bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=1DF106F3-7EC4-4EB0-9143-C1E3C9E2F5F8&displaylang=en
Microsoft Windows Server 2003 64-bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en
3. Windows XP/2003인 경우 방화벽 기능을 사용한다.
<시작> -> <제어판> -> <네트워크연결> -> <로컬영역연결> -> <로컬영역연결 속성선택> -> <고급탭 선택> -> <인터넷 연결 방화벽 체크> -> <확인>
참조사이트
·Messenger 서비스 중지 방법
http://www.spamcop.or.kr/popup_1224.html
·X-Force
http://xforce.iss.net/xforce/alerts/id/156
KA2003071
최초작성일
2003-10-16
갱 신 일
2003-10-16
출 처
http://www.microsoft.com/technet/security/bulletin/MS03-043.asp
작 성 자
이완희
제 목
Buffer Overrun in Messenger Service 취약점
해당시스템
Windows XP
Windows NT/2000
Windows 2003
영 향
이 취약점을 이용하여 원격의 공격자가 Messenger Sevice를 다운시킬 뿐만 아니라 임의의 코드를 실행하는 것이 가능하기 때문에 시스템 관리자 권한을 획득할 수 있다.
설 명
윈도우즈 시스템에서 사용하는 Messenger Service는 프린터 작업에서 사용자에게 프린터 작업종료 메시지나 관리자가 사용자에게 시스템 재부팅 관련 사항을 전달할때 사용하는 서비스로써 최근에는 메신져 스팸으로 많이 이용되는 서비스이다.
이 서비스가 할당된 버퍼로 보내는 메시지의 크기를 유효하게 점검하지 않아 버퍼오버런이 발생하며 이를 악용하면 서비스 다운은 물론 시스템 관리자 권한까지 획득하여 파일 변조 삭제가 가능하다.
이 서비스는 Windows NT, Windows 2000, Windows XP시스템은 디폴트로 Messenger Service가 시작되므로 취약하며 Windows 2003 시스템은 디폴트로 시작되지 않으므로 임의 적으로 실행하지 않는 한 취약하지는 않다.
해 결 책
아래의 3가지 중 하나만 실행해도 가능하나 3가지 모두를 적용 하기를 권한다.
1. 메신져 서비스를 중지 시킨다.
<시작> -> ( <설정> ) -> <제어판> -> <관리도구> -> <서비스>에서 Messenger 항목을 찾아서 중지 한후 시작유형부분에서 사용안함을 선택하고 적용한다.
2. 패치를 적용한다.
Microsoft Windows NT Workstation 4.0, Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=7597FCF4-6615-4074-9E46-A17D808ED38D&displaylang=en
Microsoft Windows NT Server 4.0, Service Pack 6a
http://www.microsoft.com/downloads/details.aspx?FamilyId=B1949456-996A-485A-9A28-79FD79F26A1B&displaylang=en
Microsoft Windows NT Server 4.0, Terminal Server Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=64AB4B66-1A6E-4264-93A8-26CDB98B05A8&displaylang=en
Microsoft Windows 2000, Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=A0061377-1683-4C13-9527-5534F6C7CF85&displaylang=en
Microsoft Windows 2000, Service Pack 3, Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=99F1B40D-906A-4945-A021-4B494CCCBDE0&displaylang=en
Microsoft Windows XP Gold, Service Pack 1 (한글 Windows XP 사용자)
http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en
Microsoft Windows XP 64-bit Edition (영문 Windows XP 사용자)
http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en
Microsoft Windows XP 64-bit Edition Version 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=1DF106F3-7EC4-4EB0-9143-C1E3C9E2F5F8&displaylang=en
Microsoft Windows Server 2003 64-bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en
3. Windows XP/2003인 경우 방화벽 기능을 사용한다.
<시작> -> <제어판> -> <네트워크연결> -> <로컬영역연결> -> <로컬영역연결 속성선택> -> <고급탭 선택> -> <인터넷 연결 방화벽 체크> -> <확인>
참조사이트
·Messenger 서비스 중지 방법
http://www.spamcop.or.kr/popup_1224.html
·X-Force
http://xforce.iss.net/xforce/alerts/id/156
