지난주에 진행된 MS 2012년 1월 보안 업데이트에 대한 내용입니다. 총 7개의 업데이트가 나왔습니다.

플랫폼을 명시하지 않으면, 해당 제품군의 모든 플랫폼을 포함하는 것입니다.

MS12-001(중요) - 윈도우 커널 보안 기능 우회 취약점

윈도우 XP(32비트)를 제외한, 윈도우 XP(64비트), 비스타, 7, 서버 2003, 2008, 2008 R2 에 해당 취약점이 있습니다.

• 윈도우 커널 SafeSEH 우회 취약점(CVE-2012-0001)
  윈도우 커널이 예외 처리 테이블을 읽어들이는 방식에 문제가 있어 보안 기능을 우회할 수 있는 취약점이 있습니다. 공격자는 이 취약점을 악용하여 SafeSEH를 우회한 다음 다른 취약점을 악용할 수 있습니다.

MS12-002(중요) - 윈도우 오브젝트 패키저 원격 코드 실행 취약점

윈도우 XP, 윈도우 서버 2003에 해당 취약점이 있습니다.

• 오브젝트 패키저의 안전하지 않은 라이브러리 실행 취약점(CVE-2012-0009)
  윈도우가 윈도우 오브젝트 패키저를 등록하고 사용하는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.

MS12-003(중요) - 윈도우 클라이언트/서버 런타임 서브시스템 권한 상승 취약점

윈도우 XP, 비스타, 서버 2003, 2008에 해당 취약점이 있습니다.

• CSRSS 권한 상승 취약점(CVE-2012-0005)
  CSRSS가 조작된 유니코드 문자를 처리하는 과정에 문제가 있어 권한 상승이 되는 취약점이 있습니다. 공격자는 취약점을 악용하여 로컬 시스템에 임의의 코드를 실행할 수 있습니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다. 

MS12-004(긴급) - 윈도우 미디어 원격 코드 실행 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

• 미디 원격 코드 실행 취약점(CVE-2012-0003)
  윈도우 미디어 플레이어에 원격 코드 실행 취약점이 있습니다. 공격자가 특수하게 조작한 미디파일을 윈도우 미디어 플레이어로 재생하게 되면, 공격자가 삽입한 원격 코드가 실행됩니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.
• 다이렉트 쇼 원격 코드 실행 취약점(CVE-2012-0004)
  윈도우가 미디어 파일을 다루는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다. 사용자가 특수하게 조작된 미디어 파일을 열게되는 순간 원격 코드가 실행되게 됩니다. 공격자는 이 취약점을 악용하여 로그인 한 사용자와 동일한 권한으로 임의의 명령을 실행할 수 있습니다.

MS12-005(중요) - 윈도우 원격 코드 실행 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

• 어셈블리 실행 취약점(CVE-2012-0013)
  윈도우 패키저가 오피스 파일을 포함하고 있는 클릭원스 애플리케이션을 읽어들이는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다.

MS12-006(중요) - SSL/TLS 정보 노출 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

• SSL, TLS 프로토콜 취약점(CVE-2011-3389)
  SSL 3.0과 TLS 1.0  암호화 프로토콜에 정보 노출 취약점이 있습니다. 이 취약점은 해당 프로토콜 뿐만 아니라 윈도우 운영체제에도 영향을 끼칩니다. 이 취약점으로 암호화된 SSL/TLS 트래픽을 풀어낼 수 있습니다. 브라우저가 공격 당할 수 있는 가장 큰 요소이기 때문에 이로 인해 HTTPS 트래픽과 HTTP/HTTPS 혼합 트래픽이 가장 큰 영향을 받습니다.

MS12-007(중요) - AntiXSS 라이브러리 정보 노출 취약점

Microsoft Anti-Cross Site Scripting Library V3.x and Microsoft Anti-Cross Site Scripting Library V4.0 에 해당 취약점이 있습니다.

• AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)
  AntiXSS 라이브러리가 특수하게 조작된 HTML 파일을 처리하는 과정에 정보 노출 취약점이 있습니다. 사용자가 올리는 HTML에서 발생할 수 있는 XSS 공격을 AntiXSS로 대비할 수 있으나, 공격자는 이 취약점을 악용하여 XSS 공격을 할 수 있습니다. 공격자는 라이브러리를 우회하여 악의적인 스크립트를 삽입하고, 정보를 노출하도록 할 수 있습니다. 이 취약점으로 임의의 코드를 실행하거나, 권한 상승을 하는 등 직접적인 공격은 할 수 없지만, 이를 기반으로 다른 공격을 시도할 수 있습니다.

지난 2011년 12월 28일 Chaos Communication Congress 에서, 해시테이블의 취약점을 이용한 DoS 공격이 공개되었습니다.

기본적으로 1개의 변수가 있을 때 이 변수를 해시테이블에 저장, 검색, 삭제하는데 드는 시간은 O(1)입니다. 그리고 해시 충돌이 없는 경우 n개를 저장, 검색, 삭제하는데 드는 시간은 O(n)입니다. 

그러나 POST로 전달할 수 있는 매개변수의 수에 제한이 없어, POST로 많은 수(수백~수천개 이상)의 매개변수를 전달할 수 있습니다. 이렇게 제한 없이 많은 수의 매개변수를 전달하게 되면, 매개변수를 저장하는 해시테이블에서 해시 충돌이 일어나게 되고 이로 인해 해시테이블에 접근하는 시간이 급속도로 늘어나게 됩니다. 가장 최악의 경우엔 n개를 처리하는데 O(n^2)의 시간이 들게 됩니다.

이렇게 POST로 제한없이 많은 수의 매개변수를 전달하게 되면 속도가 저하되고 CPU 부하가 급속히 높아지는 취약점이 있어, 이를 악용한 DoS 공격을 할 수 있게 됩니다.

PHP의 경우 500kB(10B*5만개)의 POST를 보내게 되면 CPU 코어 1개를 1분여, 300k(10B*3만개)B의 POST를 보내게 되면 CPU 코어 1개를 30초 동안 소모하게 됩니다. 

.NET Framework, PHP, Apache Tomcat 등 웹 서비스 플랫폼에 해당 취약점이 있으며, 각각 패치가 공개되었습니다.

패치를 권장하나, 다음의 방식으로 취약점을 회피할 수 있습니다.

1. POST로 전달할 수 있는 최대 크기를 줄인다.

2. POST로 전달 가능한 매개변수의 갯수를 설정한다.

3. 프로세스당 CPU 소모 가능 시간을 설정한다.

• PHP : max_input_time 값을 줄인다
• IIS for ASP.NET : shutdown time limit for processes 값을 줄인다.

참조 URL

Efficient Denial of Service Attacks on Web Application Platforms 발표자료

아파치 range 헤더 취약점(CVE-2011-3192)을 악용하는 익스플로잇(이하 rapache)이 지난 9일 exploit-db.com을 통해 공개되었습니다.

그러나  Thomas Hoger가 언급한 것 처럼, 실제로 rapache는 range 헤더를 전송하여 아파치 서버를 공격하는 것이 아니라, 웹 서버가 처리할 수 있는 이상의 숫자로 연결을 생성하여 웹 서버가 정상적으로 동작하지 않도록 하는 것일 뿐입니다. 일종의 DoS 공격을 하는 것이며, 취약점과는 무관합니다.

아래는 rapache 가 보내는 패킷을 캡쳐한 그림입니다. 10번이 rapache를 이용해 공격하는 클라이언트이며, 255번이 웹서버입니다.

rapache는 취약점을 이용하여 공격하진 않지만 서비스 거부 공격을 하기 때문에, rapache를 이용한 공격이 실제로 일어날 수 있습니다. 그러나 iptables와 같은 도구를 사용하여 특정 IP와의 연결 숫자를 제한하면, 이런 형태의 공격을 회피할 수 있습니다.

iptables로는 다음과 같이 설정할 수 있습니다. IP당 80번 포트 연결을 20으로 제한한 설정입니다.

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
service iptables save

참조 URL

• CVE-2011-3192 취약점 관련 아파치 재단 공지