윈도우 서비스 격리 기능 우회 취약점 주의

□ 개요
  o 특정 윈도우 서비스를 이용하여 서비스 격리 기능을 우회함으로써 권한상승이 
    발생하는 취약점
    ※ 서비스 격리: 서비스를 필요한 권한에 따라 그룹화하여 다른 서비스 그룹에 속한 
       서비스에 접근하지 못하도록 하는 기능
  o 공격자가 이 취약점을 악용하려면 로컬 컴퓨터에서 코드를 실행할 수 있어야 함
  o 공격이 성공하면 공격자는 상승된 권한으로 프로그램 설치, 삭제, 계정 생성 등 영향받는 
    시스템에 대해 완전한 권한 획득 가능

□ 해당시스템
  o 영향 받는 소프트웨어
    - Windows XP SP3
    - Windows XP Professional x64 Edition SP2
    - Windows Server 2003 SP2
    - Windows Server 2003 x64 Edition SP2
    - Windows Server 2003 with SP2 for Itanium-based Systems
    - Windows Vista SP1, SP2
    - Windows Vista x64 Edition SP1, SP2
    - Windows Server 2008 for 32-bit Systems, SP2
    - Windows Server 2008 for x64-based Systems, SP2
    - Windows Server 2008 for Itanium-based Systems, SP2
    - Windows 7 for 32-bit Systems
    - Windows 7 for x64-based Systems
    - Windows Server 2008 R2 for x64-based Systems
    - Windows Server 2008 R2 for Itanium-based Systems

□ 조치 방안
  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
    - MS 다운로드 센터(www.microsoft.com/downloads/Search.aspx?displaylang=ko)에 
      접속하여 검색창에 숫자“kb982316”을 입력하고 찾기 버튼을 누른다.

    - 검색 결과에서 자신의 운영체제에 맞는 업데이트 파일을 다운로드 및 설치한다.

  o IIS 서비스가 운영중인 시스템에 대한 보안설정 강화
    - IIS 6.0 일 경우
      1. “IIS 관리자->로컬 컴퓨터->응용프로그램 풀”로 접근 후, 
          마우스 오른쪽 버튼으로 “속성”선택
      2. 속성 창에서 “ID 탭” 선택 후, 보안계정 구성을 활성화하고 
         사용할 계정의 사용자명과 패스워드를 입력
      3. 선택한 사용자명을 IIS_WPG 그룹에 추가

    - IIS 7.0 이상인 경우
      1. 관리자 권한으로 명령 프롬프트를 실행시키고 
         %systemroot%\system32\inetsrv 디렉토리로 이동
      2. 다음과 같은 형식으로 APPCMD.exe 명령어를 실행
          appcmd set config /section:applicationPools /
          [name=string].processModel.identityType:SpecificUser /
          [name=string].processModel.userName:string /
          [name=string].processModel.password:string
          ※ string : 응용프로그램 풀 이름
          ※ userName:string : 사용자명
          ※ password:string : 암호
      3. 선택한 사용자명을 IIS_WPG 그룹에 추가

□ 참조사이트
  o http://www.microsoft.com/technet/security/advisory/2264072.mspx
  o http://support.microsoft.com/kb/982316/en-us