• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안업데이트-8] TCP/IP 취약점, IPv6 사용 모든 OS 위험에 노출돼 2010.02.18

MS10-009, TCP/IP 취약점으로 인한 원격 코드 실행 문제점


<순서>

1. 보안업데이트 무시하고 있지는 않나요?

2. 오피스 취약점, 공격자는 PC 완전제어 가능

3. 파워포인트 취약점, 서버가 더 위험할 수 있어

4. 페인트 취약점, JPEG로 공격자 로컬사용자 권한 얻어

5. SMB 취약점, 서비스 거부도 유발 가능

6. 윈도우 셸 처리기 취약점, 사용자 컨텍스트 악용 가능

7. 액티브X 취약점, Kill 비트 설정해 해결

8. TCP/IP 취약점, IPv6 사용 모든 OS 위험에 노출돼

9. 하이퍼-V 취약점, 가상서버 악용 연결 PC들 서비스거부 유발

10. CSRSS 취약점, 필수 하위 시스템의 사용자 모드 권한 획득

11. SMB 취약점, SMB패킷 보내 PC 악용

12. DirectShow 취약점, 동영상(AVI) 파일 여는 순간 위험

13. Kerberos 취약점, 티켓 갱신 요청 받아들여지면 서비스거부 발생

14. 커널 취약점, 운영체제 핵심인 커널이 특정 예외 잘못 처리


MS10-009(긴급) 보안공지와 관련한 보안 업데이트는 MS 윈도우에서 발견돼 비공격적으로 보고된 4개의 취약점을 해결한다. 가장 위험한 취약점으로 인해 IPv6를 사용하는 PC로 특수하게 조작된 패킷이 전송될 경우 원격 코드 실행이 허용될 수 있는데, 공격자는 특수하게 조작된 ICMPv6 패킷을 만들어 IPv6를 사용하는 시스템에 보내는 방법으로 취약점 악용을 시도할 수 있으며, 이 취약점은 공격자가 링크에 있는 경우에만 악용될 수 있다.

 

 

특히 이 보안 업데이트의 심각도는 윈도우 비스타 및 윈도우 서버 2008에 대해 긴급이다.


심각도 및 취약점-ICMPv6 라우터 알림 취약점(CVE-2010-0239)

특수하게 조작된 ICMPv6 라우터 알림 패킷을 처리할 때의 불충분한 경계 검사로 인해 윈도우 TCP/IP 스택에 원격 코드 실행 취약점이 존재한다. 익명 공격자가 IPv6를 사용하는 PC에 특수하게 조작된 ICMPv6 라우터 알림 패킷을 전송해 취약점을 악용할 수 있다. 이 취약점에 대한 대안으로는 ‘핵심 네트워킹-라우터 알림(ICMPv6-In)’ 인바운드 방화벽 규칙을 사용하지 않는 것이다.


심각도 및 취약점-헤더 MDL 단편화 취약점(CVE-2010-0240)

사용자 지정 네트워크 드라이버를 실행할 때 TCP/IP 스특에서 UDP 데이터그램 단편화를 통해 특수하게 조작된 ESP(Encapsulating Security Payloads)를 처리하는 방식으로 인해 윈도우 TCP/IP 스택에 원격 코드 실행 취약점이 존재한다. 이 취약점에 대한 대안은 이 기능을 지원하는 시스템에서 고급 TCP/IP 필터링을 사용하는 것이다.


심각도 및 취약점-ICMPv6 라우팅 정보 취약점(CVE-2010-0241)

특수하게 조작된 ICMPv6 라우팅 정보 패킷을 처리할 때의 불충분한 경계 검사로 인해 윈도우 TCP/IP 스택에 원격 코드 실행 취약점이 존재한다. 이 취약점에 대해 확인된 완화 요소는 없으나 그 대안으로는 ICMPv6 라우터 알림 취약점과 마찬가지의 방법을 사용하면 된다.


심각도 및 취약점-TCP/IP 선별적 확인 취약점(CVE-2010-0242)

잘못된 형식의 SACK(selective acknowledgment) 값을 가진 특수하게 조작된 TCP 패킷을 처리할 때의 오류로 인해 MS 윈도우의 TCP/IP 처리에 서비스 거부 취약점이 존재하며, 공격자는 대상 시스템에 적은 수의 특수하게 조작된 패킷을 보내 영향을 받는 시스템이 응답을 중지하고 자동으로 다시 시작하게 해 이 취약점을 악용할 수 있다.


한편 이와 관련한 보다 자세한 사항이나 보안업데이트는 MS 테크넷 홈페이지(www.microsoft.com/korea/technet/security/bulletin/ms10-009.mspx)에서 확인할 수 있다.


■ 용어해설(MS10-009 보안공지 참조)

 

TCP/IP 인터넷에서 널리 사용되는 네트워킹 프로토콜 집합이다. TCP/IP는 여러 하드웨어 아키텍처를 갖고 있고 다양한 운영 체제를 실행하는 상호 연결된 컴퓨트 네트워크에서 통신을 제공하며, 컴퓨터가 통신하는 방법에 대한 표준과 네트워크를 연결하고 트래픽을 라우팅하는 규칙을 포함하고 있다.


IPv6 인터넷의 네트워크 계층을 위한 새로운 표준 프로토콜인 IPv6(Internet Protocol Version 6)는 MS 윈도우 XP 이상에 기본적으로 포함돼 있다. 또한 주소 고갈, 보안, 자동 구성, 확장성과 같이 현재 IP 버전인 IPv4가 지닌 많은 문제점을 해결하도록 설계됐다.


라우터 알림 라우터 알림을 통해 라우터는 호스트에 주소 자동 구성 수행 방법을 지시할 수 있다. 예를 들어, 라우터는 호스트에서 DHCPv6 및 자치(상태 비저장) 주소 구성을 사용해야 하는지 여부를 지정할 수 있다. 라우터는 다양한 링크 및 인터넷 매개 변수를 사용해 주기적으로 또는 라우터 요청 메시지에 대한 응답으로 자신의 존재를 알린다. 또한 라우터 알림에는 다른 주소가 동일한 링크(온링크 결정) 및 주소 구성, 제안된 홉 제한 값 등을 공유하는지 여부를 결정하는 데 사용되는 접두사가 포함된다.


ESP(Encapsulating Security Payloads) IP 페이로드에 대한 기밀성(인증, 무결성 및 릴레이 방지 보호와 함께)을 제공한다. 전송 모드에서 ESP는 전체 패킷에 서명하지 않으며, IP 페이로드(IP 헤더가 아닌)만 보호된다. 또한 ESP는 독자적으로 또는 인증 헤더(AH)와 함께 사용될 수 있다.


MDL(Memory Descriptor List) 물리적 주소 집합으로 버퍼를 설명하는 시스템 정의 구조다. 직접 I/O를 수행하는 드라이버는 I/O 관리자로부터 MDL에 대한 포인터를 수신하며, MDL을 통해 데이터를 읽고 쓴다. 일부 드라이버에서는 장치 I/O 콘텐츠 요청을 충족시키기 위해 직접 I/O를 수행할 때 MDL을 사용하기도 한다.


TCP/IP SACK(selective acknowledgment) 대형 TCP 창 크기를 가진 접속에 사용된다. SACK이 사용될 경우 패킷 또는 일련의 패킷이 드롭되면 수신자가 송신자에게 어떤 데이터가 수신되었으며 수신되지 않은 데이터가 어떤 부분인지 정확하게 알려줄 수 있다. 그러면 송신자는 이미 성공적으로 수신된 데이터 블록을 다시 전송할 필요 없이 누락된 데이터만 선별적으로 다시 전송할 수 있다. MS 윈도우 TCP/IP 스택에 추가된 SACK 이전에는 수신자가 수신된 연속 데이터의 마지막 시퀀스 번호 또는 수신 창의 왼쪽 가장자리만 확인할 수 있다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>