오늘 MS08-067 긴급 패치가 발표되었습니다. 이번 취약점(CVE-2008-4250)은 Server Service가 RPC 요청을 제대로 처리하지 못해서 발생한 것으로, 2003/XP/2000/NT 운영체제에서 긴급, 2008/Vista 운영체제에서 중요 등급에 해당합니다.

비스타와 2008 서버에서는 주소 공간 레이아웃 랜덤화 (ASLR)데이터 실행 방지 (DEP) 때문에 익스플로잇이 어렵습니다. 게다가 UAC prompt를 꺼놓더라도 명명된 파이프(named pipe)를 사용하려고 할 때 UAC가 무결성 점검을 수행하므로 공격을 어렵게 합니다.

이미 익스플로잇(Win32/MS08067.gen!A)이 발견된 상태이고, 웜으로 발전할 가능성이 크므로 최대한 빨리 대응하시기 바랍니다. 마이크로소프트는 2주 전 XP 시스템을 대상으로 한 맬웨어의 공격을 분석하던 도중 이번 취약점을 발견했다고 합니다. 이 맬웨어 식별자는 TrojanSpy:Win32/Gimmiv.ATrojanSpy:Win32/Gimmiv.A.dll 입니다.

패치를 빨리 적용하시고, 외부에서 접근하지 못하도록 방화벽에서 139, 445 포트를 반드시 차단하시기 바랍니다. 다른 임시 대응책으로는 Computer Browser 서비스를 중지하는 방안이 있고, 비스타/2008의 경우에는 RPC 식별자를 기준으로 필터링이 가능합니다.

Computer Browser 서비스를 중지하게 되면 자신의 컴퓨터에 있는 파일이나 프린터를 공유할 수 없게 되지만, 다른 시스템의 공유 파일이나 프린터는 계속 사용할 수 있습니다.

비스타와 2008 서버의 경우에는 윈도우 기본 방화벽을 이용해서 RPC 식별자를 필터링할 수 있습니다. 이번 취약점에 관련해서는 UUID 4b324fc8-1670-01d3-1278-5a47bf6ee188를 차단하시면 됩니다. 설정하려면 아래와 같이 진행하시면 됩니다.

netsh

먼저 위의 명령어를 쳐서 네트워크 쉘로 전환합니다.

netsh>rpc
netsh rpc>filter
netsh rpc filter>add rule layer=um actiontype=block
netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
netsh rpc filter>add filter
netsh rpc filter>quit

이렇게 치고 나면 방화벽 차단 정책이 설정됩니다. 다음 명령으로 제대로 설정되었는지 확인합니다.

netsh rpc filter show filter

제대로 설정되었다면 아래와 같은 화면이 보일 것입니다.

Listing all RPC Filters.
---------------------------------
filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
displayData.name: RPCFilter
displayData.description: RPC Filter
filterId: 0x12f79
layerKey: um
weight: Type: FWP_EMPTY Value: Empty
action.type: block
numFilterConditions: 1

filterKey는 랜덤하게 생성되는 식별자이니 신경쓰지 않으셔도 됩니다. 방화벽을 설정한 이후에 SMB 프로토콜에 의존하는 응용프로그램은 제대로 동작하지 않을 수 있습니다.

원래대로 되돌리려면 아래 명령으로 방화벽 정책을 삭제합니다.

netsh rpc filter delete filter xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx는 위에서 확인했던 filterKey입니다.

명명된 파이프의 접근을 제한하는 방법

공식적인 방법은 아니지만, SVRD에서 소개한 또 다른 임시 대응 방안이 하나 있습니다. 서버 서비스의 취약 지점을 공격하려면 명명된 파이프(named pipe)를 이용해야 합니다. 기본 접근 제한 정책은 netapi32.dll에 정의되어 있는데, advapi32.dll을 이용해서 명명된 파이프의 접근 제한을 변경할 수 있습니다. 다만, 현재 윈도우 세션에 적용되는 것 뿐이라 윈도우 재부팅 될 때마다 다시 설정해야 하는 문제가 있을 뿐입니다. RPC에 관련된 명명된 파이프에 익명 사용자가 접근할 수 없도록 제한하면, 익명 사용자로 공격하는게 아주 힘들어집니다. chacl.c 소스를 컴파일해서 아래와 같이 실행하면 됩니다.

C:\>chacl.exe \\.\pipe\srvsvc
opening up \\.\pipe\srvsvc
Got back 3 ACE entries
Found an entry for ANONYMOUS LOGON. Deleting it...
deleted that ACE

Setting new DACL changes...
Done

C:\>chacl.exe \\.\pipe\browser
opening up \\.\pipe\browser
Got back 3 ACE entries
Found an entry for ANONYMOUS LOGON. Deleting it...
deleted that ACE

Setting new DACL changes...
Done