'Internet Information Service'에 해당되는 글 2건

  1. 2009.12.28 MS IIS 파일 확장자 처리오류 취약점 주의 (1)
  2. 2009.09.03 MS IIS FTP 서비스의 원격코드실행 취약점 주의
2009.12.28 16:47

MS IIS 파일 확장자 처리오류 취약점 주의

□ 개요
   o 마이크로소프트사의 IIS(Internet Information Service)에서 파일 확장자 처리오류로 인한
     보안우회 취약점이 발견됨[1,2,3]
   o 현재 해당 취약점에 대한 보안 업데이트가 발표되지 않았으며 IIS는 국내에서 많이 이용되기
     때문에 해당 서버 관리자는 보안 업데이트가 발표되기 전까지 주의를 요함

□ 영향을 받는 시스템
   o Microsoft Internet Information Services 6.x 이하의 모든 버전

□ 영향을 받지 않는 시스템
   o Microsoft Internet Information Services 7.5

□ 취약점 설명
   o 마이크로소프트의 IIS에서 세미콜론을 이용한 파일 확장자 처리오류를 통해 공격자는
     임의의 파일(웹쉘, Exploit 코드 및 각종 실행파일 등)을 실행할 수 있음 [1,2,3] 
     - 예를 들어 IIS는 "malicious.asp;.jpg" 파일을 ASP 파일로 처리하여 실행
     - 특히 대부분의 파일 업로드 보호 시스템은 파일의 마지막 확장자(JPG)만을 확인하여
       업로드하기 때문에 쉽게 업로드가 가능

□ 영향
   o 만약 상기 취약점을 이용하여 공격한 경우 공격자는 취약한 웹서버의 파일 업로드 기능을
     이용하여 웹쉘을 업로드 및 실행한 후 웹서버에 대한 완벽한 권한을 취할 수 있음
   o 또한 악의적인 파일을 업로드한 후 인터넷 사용자의 클릭을 유도하여 사용자 PC에 악성코드를
     감염시킬 수 있음

□ 임시 조치방법
   o 파일의 이름 및 확장자를 랜덤한 문자열로 치환하여 업로드 되도록 함 [3]
     ※ 사용자가 입력한 파일이름으로 업로드 되지 않도록 함
   o 업로드 파일 디렉토리에 대한 실행 권한을 해제 [3]
     ※ 설정방법 (Windows 2003 사용자 환경의 예)
      - “제어판 > 관리 도구 > 인터넷 정보 서비스(IIS) 관리”에서 업로드 폴더의 속성 클릭
      


      - “디렉터리 탭”의 “실행 권한”을 “없음”으로 설정
     

□ 용어 정리
   o IIS(Internet Information Service): 인터넷정보서비스라 불리며 마이크로소프트 윈도우즈를
     사용하는 서버들을 위한 인터넷 기반 서비스
   o ASP(Active Server Script): 마이크로소프트사에서 개발한 서버 측의 스크립팅 환경

□ 기타 문의사항
   o 보안업데이트는 언제 발표되나요?
     - MS의 공식 보안업데이트 일정은 발표되지 않음, 발표될 경우 KrCERT 홈페이지를 통해
       신속히 공지할 예정입니다
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

□ 참고사이트
   [1] http://secunia.com/advisories/37831/ (Secunia)
   [2] http://www.vupen.com/english/advisories/2009/3634
   [3] http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf

출처 : 인터넷침해대응센터


Trackback 1 Comment 1
  1. ice1435 2010.10.11 17:34 address edit & del reply

    좋은정보감사합니다.

2009.09.03 11:07

MS IIS FTP 서비스의 원격코드실행 취약점 주의

□ 개요
   o 마이크로소프트사의 IIS(Internet Information Service) 5.0, 5.1, 6.0에서 동작하는 FTP서비스에
     원격코드실행 취약점이 발견됨[1,2,3]
   o 현재 해당 취약점을 이용한 공격코드가 공개되었으며 IIS는 국내에서 많이 이용되기 때문에 해당
     서버 관리자는 보안 업데이트가 발표되기 전까지 주의를 요함

□ 영향을 받는 시스템
   o Microsoft Internet Information Services 5.0 with Microsoft Windows 2000 SP4
   o Microsoft Internet Information Services 5.1 with Windows XP SP2 and SP3
   o Microsoft Internet Information Services 6.0 with Windows XP Service x64 Edition SP2
   o Microsoft Internet Information Services 6.0 with Windows Server 2003 SP2
   o Microsoft Internet Information Services 6.0 with Windows Server 2003 x64 Edition SP2
   o Microsoft Internet Information Services 6.0 with Windows Server 2003 SP2
     for Itanium-based Systems

□ 영향을 받지 않는 시스템
   o Microsoft Internet Information Services 7.0
   o Microsoft Internet Information Services 7.5

□ 취약점 설명
   o 마이크로소프트의 IIS FTP 서비스에 디렉터리 이름을 이용한 스택버퍼오버플로우 취약점이
     존재[2,3]
     - FTP NLST(NAME LIST) 명령을 통해 특별하게 조작된 디렉터리 이름을 처리할 때 스택
       오버플로우가 일어나며 이를 이용한 원격코드실행이 가능함
     - 하지만 이러한 공격이 가능하기 위해서는 공격자가 FTP 계정에 있어 쓰기권한을 가지고
       있어야함

□ 영향
   o 만약 상기 취약점을 이용하여 공격한 경우 공격자는 프로그램의 설치 및 실행, 데이터의 열람 및
     수정, 삭제, 새로운 계정의 생성 등 공격시스템에 대해 완벽한 권한을 취할 수 있음

□ 임시 조치방법
   o 신뢰되지 않은 익명 사용자에 대한 FTP 쓰기권한을 해제
     ※ 익명사용자(Anonymous User)에 대해 쓰기권한이 기본적으로 주어져있지 않으나 관리자가
         권한을 부여했을 경우 다음과 같이 처리
        1. IIS 관리자를 실행
        2. FTP 사이트에 대해 오른쪽 클릭 후 등록정보 클릭
        3. ‘홈 디렉터리’ 탭에서 ‘FTP 사이트 디렉터리’ 항목의 쓰기를 해제 (그림은 윈도우즈 2000에 대한 예시)


   o FTP 사용자가 디렉토리 생성을 못하도록 NTFS 파일 시스템의 권한을 조정
     ※ FTP 사이트의 루트 디렉터리(기본 값: %systemroot%\inetpub\ftproot)에 대해 다음을 수행
        1. 오른쪽 클릭 > 등록정보 > 보안 > 고급 > 사용권한 으로 이동
        2. 사용자그룹을 선택하고 보기/편집을 클릭
        3. ‘폴더 만들기 / 데이터 추가’를 해제 (그림은 윈도우즈 2000에 대한 예시)

   o FTP 서비스를 이용하지 않는 경우 이를 중지

□ 용어 정리
   o IIS(Internet Information Service): 인터넷정보서비스라 불리며 마이크로소프트 윈도우즈를
     사용하는 서버들을 위한 인터넷 기반 서비스
   o FTP(File Transfer Protocol): 인터넷을 통해 한 컴퓨터에서 다른 컴퓨터로 파일을 전송할 수
     있도록 하는 방법과, 그런 프로그램을 모두 일컫는 말

□ 기타 문의사항
   o 보안업데이트는 언제 발표되나요?
     - MS의 공식 보안업데이트 일정은 발표되지 않음, 발표될 경우 KrCERT 홈페이지를 통해 신속히
       공지할 예정입니다
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

□ 참고사이트
   [1] http://www.microsoft.com/technet/security/advisory/975191.mspx
   [2] http://www.securityfocus.com/bid/36189/
   [3] http://www.kb.cert.org/vuls/id/276653


출처 : 인터넷침해대응센터


Trackback 0 Comment 0