공지사항
보안패치
결제방법안내
서비스 이용약관
개인정보취급방침
자주묻는질문
기술가이드
문의하기
보안패치
제 목 MDAC 함수의 버퍼 오버런으로 인한 코드 실행 문제(MS04-003)
작성자 하나로호스팅 ( hosting@hhosting.co.kr ) 등록정보 2004-01-26 00:00:00 조회수 30981
위험도: 상

공격유형: 원격에서 MDAC서비스를 운영중인 시스템에 관리자 권한 획득 및 명령 실행


공격설명:



MDAC(Microsoft Data Access Components)는 원격 데이터베이스에 연결하고 클라이언트에 데이터를 반환하는 것과 같은 다양한 데이터베이스 작업에 대한 기본 기능을 제공하는 컴포넌트이다. 네트워크에 존재하는 클라이언트 시스템은 SQL Server를 실행하고 있거나, 네트워크에 있는 컴퓨터의 목록을 보려고 할 때, 네트워크에 있는 모든 장치에 브로드캐스트 요청을 보낸다. 이때 악의적인 공격자는 특정 MDAC 구성 요소의 취약점을 이용하여 버퍼 오버런을 일으키는 특수 패킷을 보내 요청에 응답한다. 결과적으로 공격자는 이 취약점을 악용하여 해당시스템에서 브로드캐스트한 프로그램이 실행된 권한과 동일한 권한을 획득하여 임의 명령을 수행할 수 있다.





취약시스템:



Microsoft Data Access Components 2.5 (Microsoft Windows 2000에 포함)

Microsoft Data Access Components 2.6 (Microsoft SQL Server 2000에 포함)

Microsoft Data Access Components 2.7 (Microsoft Windows XP에 포함)

Microsoft Data Access Components 2.8 (Microsoft Windows Server 2003에 포함)





취약 운영체제:



Microsoft Windows 2000 Advanced Server

Microsoft Windows 2000 Datacenter Server

Microsoft Windows 2000 Professional

Microsoft Windows 2000 Server

Microsoft Windows Server 2003 Datacenter Edition

Microsoft Windows Server 2003 Enterprise Edition

Microsoft Windows Server 2003 Standard Edition

Microsoft Windows Server 2003 Web Edition

Microsoft Windows XP Home Edition

Microsoft Windows XP Professional





취약 MDAC 버전:



취약점은 MDAC 2.5와 2.6와 2.7와 2.8에 영향을 미친다. 아래 레지스트리 키 값에서 확인 가능하다

HKEY_LOCAL_MACHINESOFTWAREMicrosoftDataAccessFullInstallVer





공격대상 서버포트: 1434/UDP





공격영향: 접근권한을 획득하여 임의 명령을 수행 할 수 있다.





해결방안:



1. inbound 트래픽을 허용하지 못하도록 1434/UDP를 차단한다.



이와 같이 설정한 경우 SQL 클라이언트 시스템이 SQL 브로드캐스트 하지 않는다.



예) Windows 2000 기반 컴퓨터에서 발생한 네트워크 트래픽이 UDP 1434에서 해당 호스트로 인바운드되는 것을 차단할 경우 ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x



2. 다음 사이트를 이용하여 보안업데이트 한다.



http://www.microsoft.com/korea/technet/security/bulletin/ms04-003.asp





참고자료:



http://www.microsoft.com/korea/technet/security/bulletin/ms04-003.asp

http://www.ciac.org/ciac/bulletins/o-053.shtml



취약점 발표일: 2004-01-14

보안패치
총 174 건
번호 제목 등록일 조회수
138 [MSSA] 마이크로소프트 Windows XP SP2, Windows 2000 지원중단 공지 - 2010-07-13 2010-07-13 26517
137 PDF Reader의 보안위협에 따른 권고 - 2010-07-05 2010-07-05 26818
136 Mass SQL Injection 공격 진행에 따른 악성코드 감염 주의 - 2010-06-18 2010-06-18 26600
135 Adobe Flash Player 및 AIR 다중 취약점 보안업데이트 권고 - 2010-06-17 2010-06-17 26816
134 MS 윈도우 도움말 및 지원 센터 원격코드실행 취약점 주의 - 2010-06-17 2010-06-17 26074
133 [MS 보안업데이트]2010년 6월 MS 정기 보안업데이트 권고 - 2010-06-09 2010-06-09 26376
132 국내 공개 웹 게시판(GR Board) 보안 업데이트 권고 - 2010-06-09 2010-06-09 28395
131 Adobe Flash Player/Acrobat/Reader 신규 취약점 주의 - 2010-06-06 2010-06-06 26613
130 세미콜론을 이용한 IIS 파일 파싱 우회 취약점 - 2010-05-25 2010-05-25 32813
129 [MS 보안업데이트]2010년 5월 MS 정기 보안업데이트 권고 - 2010-05-12 2010-05-12 28393
128 국내 공개 웹 게시판(제로보드XE) 보안 업데이트 권고 - 2010-04-16 2010-04-16 28638
127 Java 개발 및 실행환경 (JDK/JRE) 보안 업데이트 권고 - 2010-04-16 2010-04-16 28259
126 Adobe Acrobat/Reader 보안 업데이트 권고 2010-04-15 29310
125 2010년 4월 Oracle의 Oracle Critical Patch Update 권고 2010-04-14 28400
124 Adobe Acrobat/Reader 보안 업데이트 권고 2010-04-14 29086
123 [MS 보안업데이트]2010년 4월 MS 정기 보안업데이트 권고 - 2010-04-14 2010-04-14 27813
122 PDF Reader 임의코드 실행 주의 - 2010-04-07 2010-04-07 28841
121 Oracle Java SE and Java for Business 보안업데이트권고 - 2010-04-02 2010-04-02 28120
  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  
1