Q811493 - 커널 메시지처리시 발생하는 버퍼오버런으로 인해 권한 상승이 일어날 수 있음
811493 버그는 신문에도 나온 것입니다. ^^;
윈도우즈 커널(Kernal; core)의 메시지 처리과정에서 자체의 오류로 인해 버퍼오버런(Buffer overrun)을 일으킬 수 있고... 이점을 악용해 누군가(침입자)가 커널부의 제어에 개입(관리자 권한획득)할 수 있다는 것이지요. 치명적일 수 있는 오류입니다. 하지만, 터미널서버나 네트워크를 이용해 접속하도록 설정한 서버계통의 OS에서 최고관리자의 권한을 빼앗길 수 있다는 점이, 윈도우 터미널 접속을 제한한 일반 유저들에게는 와닿지 않게 하는 것입니다.
말이 어렵나요? 윈도우즈 커널이라는 것은 윈도우 시스템의 핵심코드입니다. 이 커널의 기반위에 다양한 기능을 가진 악세사리 코드들이 조합되어 윈도우즈OS라는 기능을 발휘하는 것이지요. 그런데, 이렇게 중요한 커널의 특정 코드에 대한 값(value)이 넘쳐버리는 버퍼오버런(buffer overrun)이 발생하게 되면, 커널은 자동으로 에러 메시지를 디버거에게 전달하는데, 이 때 프로그래밍의 오류로 인해 커널부의 제어가 불가능하게 되고, 이를 시도한 침입자나 오류를 발생시킨 코드에게 커널을 제어할 수 있는 권한이 넘어가게 되어서 침입자가 심어놓은 코드를 실행시킬 수 있다는 것입니다. 권한은 관리자의 권한을 갖게 되므로 시스템에 심어놓은 코드에 따라 원하는 작업을 허가받지 않고 실행 시킬 수 있습니다.
버퍼언더런, 버퍼오버런 등의 프로그래밍 에러를 이용하여 최고관리자의 권한을 획득하는 해킹방법이 존재하며, 운영체제로서는 매우 치명적인 보안 문제를 발생시킬 수 있다고 볼 수 있습니다.
우선은 커널에 대한 바이너리 수정 패치이므로, 신중하게 패치하시는 것이 좋을 것 같구요... 속도가 느려진다는 점이 문제가 된다면, 일반 유저들은 굳이 패치하지 않으셔도 될 것 같네요. 좀더 향상된 코드가 들어간 다음 패치를 고려해보시는 것도 좋을 것 같습니다. 서버 관리자분들은 터미널 접속을 단단히 단속하셔야겠습니다.
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows NT Server 4.0
Microsoft Windows NT Workstation 4.0
의 운영체제에 해당됩니다.
원문.
현상
Windows 커널은 운영 체제의 핵심입니다. 커널에서는 장치와 메모리 관리 등 시스템 수준 서비스를 제공하고 프로세서 시간을 프로세스에 할당하며 오류 처리를 관리합니다. 커널에서 디버거로 오류 메시지를 전달하는 방식에 결함이 있습니다. 이 결함이 바로 취약점의 원인입니다. 침입자는 이 결함을 악용하는 프로그램을 작성하고 자신이 선택한 코드를 실행할 수 있습니다. 침입자는 이 취약점을 악용하여 데이터 삭제, 관리 액세스를 사용한 계정 추가 또는 시스템 재구성 등의 작업을 시스템에서 수행할 수 있습니다.
공격이 성공하려면 침입자는 콘솔이나 터미널 세션을 통해 시스템에 대화형으로 로그온할 수 있어야 합니다. 또한, 이 취약점을 악용하는 코드를 사용해야 합니다. 가장 적합한 보안 리소스는 서버에서 대화형으로 로그온하는 기능을 제한하는 것입니다. 결과적으로 이 문제는 클라이언트 시스템과 터미널 서버에 거의 직접적인 영향을 미칩니다. 가장 적합한 보안 리소스에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/security/bestprac/default.asp
문제 방지 요소
공격이 성공하려면 직접 콘솔에서 또는 터미널 세션을 통해 대상 컴퓨터에 대화형으로 로그온할 수 있어야 합니다.
올바르게 보호된 서버에서는 이 취약점에 대한 위험이 거의 없습니다. 최선의 방법은신뢰할 수 있는 관리자만이 이러한 종류의 시스템에 대화형으로 로그온하도록 허용하는 것입니다. 이러한 권한이 없는 침입자는 취약점을 악용할 수 없습니다.
컴퓨터에 패치가 설치되었는지 확인하려면 다음 레지스트리 키가 있는지 확인하십시오.
Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\Q811493
서비스 팩 1(SP1)이 포함된 Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q811493
811493 버그는 신문에도 나온 것입니다. ^^;
윈도우즈 커널(Kernal; core)의 메시지 처리과정에서 자체의 오류로 인해 버퍼오버런(Buffer overrun)을 일으킬 수 있고... 이점을 악용해 누군가(침입자)가 커널부의 제어에 개입(관리자 권한획득)할 수 있다는 것이지요. 치명적일 수 있는 오류입니다. 하지만, 터미널서버나 네트워크를 이용해 접속하도록 설정한 서버계통의 OS에서 최고관리자의 권한을 빼앗길 수 있다는 점이, 윈도우 터미널 접속을 제한한 일반 유저들에게는 와닿지 않게 하는 것입니다.
말이 어렵나요? 윈도우즈 커널이라는 것은 윈도우 시스템의 핵심코드입니다. 이 커널의 기반위에 다양한 기능을 가진 악세사리 코드들이 조합되어 윈도우즈OS라는 기능을 발휘하는 것이지요. 그런데, 이렇게 중요한 커널의 특정 코드에 대한 값(value)이 넘쳐버리는 버퍼오버런(buffer overrun)이 발생하게 되면, 커널은 자동으로 에러 메시지를 디버거에게 전달하는데, 이 때 프로그래밍의 오류로 인해 커널부의 제어가 불가능하게 되고, 이를 시도한 침입자나 오류를 발생시킨 코드에게 커널을 제어할 수 있는 권한이 넘어가게 되어서 침입자가 심어놓은 코드를 실행시킬 수 있다는 것입니다. 권한은 관리자의 권한을 갖게 되므로 시스템에 심어놓은 코드에 따라 원하는 작업을 허가받지 않고 실행 시킬 수 있습니다.
버퍼언더런, 버퍼오버런 등의 프로그래밍 에러를 이용하여 최고관리자의 권한을 획득하는 해킹방법이 존재하며, 운영체제로서는 매우 치명적인 보안 문제를 발생시킬 수 있다고 볼 수 있습니다.
우선은 커널에 대한 바이너리 수정 패치이므로, 신중하게 패치하시는 것이 좋을 것 같구요... 속도가 느려진다는 점이 문제가 된다면, 일반 유저들은 굳이 패치하지 않으셔도 될 것 같네요. 좀더 향상된 코드가 들어간 다음 패치를 고려해보시는 것도 좋을 것 같습니다. 서버 관리자분들은 터미널 접속을 단단히 단속하셔야겠습니다.
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows NT Server 4.0
Microsoft Windows NT Workstation 4.0
의 운영체제에 해당됩니다.
원문.
현상
Windows 커널은 운영 체제의 핵심입니다. 커널에서는 장치와 메모리 관리 등 시스템 수준 서비스를 제공하고 프로세서 시간을 프로세스에 할당하며 오류 처리를 관리합니다. 커널에서 디버거로 오류 메시지를 전달하는 방식에 결함이 있습니다. 이 결함이 바로 취약점의 원인입니다. 침입자는 이 결함을 악용하는 프로그램을 작성하고 자신이 선택한 코드를 실행할 수 있습니다. 침입자는 이 취약점을 악용하여 데이터 삭제, 관리 액세스를 사용한 계정 추가 또는 시스템 재구성 등의 작업을 시스템에서 수행할 수 있습니다.
공격이 성공하려면 침입자는 콘솔이나 터미널 세션을 통해 시스템에 대화형으로 로그온할 수 있어야 합니다. 또한, 이 취약점을 악용하는 코드를 사용해야 합니다. 가장 적합한 보안 리소스는 서버에서 대화형으로 로그온하는 기능을 제한하는 것입니다. 결과적으로 이 문제는 클라이언트 시스템과 터미널 서버에 거의 직접적인 영향을 미칩니다. 가장 적합한 보안 리소스에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/security/bestprac/default.asp
문제 방지 요소
공격이 성공하려면 직접 콘솔에서 또는 터미널 세션을 통해 대상 컴퓨터에 대화형으로 로그온할 수 있어야 합니다.
올바르게 보호된 서버에서는 이 취약점에 대한 위험이 거의 없습니다. 최선의 방법은신뢰할 수 있는 관리자만이 이러한 종류의 시스템에 대화형으로 로그온하도록 허용하는 것입니다. 이러한 권한이 없는 침입자는 취약점을 악용할 수 없습니다.
컴퓨터에 패치가 설치되었는지 확인하려면 다음 레지스트리 키가 있는지 확인하십시오.
Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\Q811493
서비스 팩 1(SP1)이 포함된 Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q811493
