매월 둘째주 화요일은 마이크로소프트사에서 보안패치를 내 놓는 날이다. 한국시간으로 보면 수요일쯤이 된다. 그러다 보니 보안패치가 나오면, 각 기업의 보안담당자는 바빠지는 날 중에 하루이다. 이번 보안패치중 패킷인사이드에서 유심히 볼만한 패치가 있는데, TCP/IP 에서 임의의 코드를 실행시킬 수 있는 취약점이다.
MS11-083 이며 공격자가 조작된 UDP 패킷을 대상 시스템의 오픈되어 있지 않은 포트로 전송 할경우 원격에서 코드실행이 가능해진다는 점이다. 이 취약점은 윈도우 비스타, 윈도우 서버 2008, 윈도우 7, 윈도우 서버 2008 R2 가 해당되며 세부적인 정보는 하단의 참고를 보면된다.
TCP/IP 스택은 기본적으로 포함되어 사용되는 것이므로, 악성코드와 같은 곳에서 악의적으로 이용하면 유용한 취약점이 될 수 있다. 일단 조작된 패킷을 전송해 Integer Overflow 를 발생시켜 코드를 실행시키는 것으로 알려졌으며, 아직 이 글을 작성하는 시점에서는 공개적으로 공격코드가 알려지지는 않았다.
지금 이 포스팅을 작성하면서 찾아보니, 알려진 정보는 비스타 이상에서는 오픈되지 않은 포트로 접속시도가 될 경우 ICMP 에러 메시지를 전달한다고 한다(ippRateLimitICMP). 충분한 UDP 패킷이 전달되어 에러 상태에 도달할 경우 오버플로우 상태에 빠진다.
공격코드는 공개되지 않았지만, 2가지 정도의 PoC 코드가 대략 보인다. 실제 공개된 코드가 아니고 동영상과 일부 화면이다. 유투브에 공개된 다음 동영상을 보면 파이썬으로 제작된 프로그램을 통해 조작된 패킷을 보내고, TCP/137 번 포트로 쉘을 만들어 접속하는것 까지 보여주고 있다.
또 다른 하나는, 다음과 같다.
# ./[deleted]x -h 172.26.1.35 -p 1000-2000
[ MS11-083 PoC - Works only on Windows 7 Spanish Version ]
[W] No open port provided. We need to send more and more UDP dgrams (sit down).
[I] Trying to exploit anyway :-)
[I] [....................................................]
[I] [....................................................]
[I] [....................................................]
[I] [............................................^C
위와같이 공격가능하다는 것만 보여주는 것이 공개되어 있는데, 사실 진위여부는 필자 또한 정확히 확인은 못하겠다.
말하고 싶은 것은, 중요한 보안 이슈인만큼 해당 패치를 꼭 적용할 것을 권장한다.
그리고 급격히 UDP 트래픽이 증가하는 경우도 유심히 보아야 할 것이다.
혹시 여러분들 네트워크에서 UDP 트래픽이 이상하게 증가하는 경우 공유해 주세요.
[참고]
1. 마이크로소프트 MS11-083 권고문
http://technet.microsoft.com/en-us/security/bulletin/ms11-083
2. Assessing the exploitability of MS11-083
http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspx
댓글 없음:
댓글 쓰기