Window NT/2000시스템에 탑재되어있는 IIS 서버의 UNICODE 웹서버 폴더 Traversal 취약점을 이용하는 새로운 종류의 웜이 중국에서 발견되어 해당시스템의 관리자/개인사용자의 각별한 주의가 요구된다.
UNICODE 웹서버 폴더 Traversal 취약점은 IIS 4.0/IIS 5.0의 url extended unicode를 이용한 canonical 에러로 이 IIS 에러를 이용하여 디렉토리 traversal이 가능하다.
보다 자세한 내용은 아래 사이트를 참조하도록 한다.
- http://www.microsoft.com/technet/security/bulletin/MS00-057.asp
- http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
- http://www.kb.cert.org/vuls/id/111677
2. 대상시스템
IIS 서버를 운영하는 Windows NT/2000 시스템(IIS 4.0과 IIS 5.0)
3. 공격방법
Code Blue웜은 IIS 서버의 UNICODE 웹서버 폴더 Traversal 취약점을 이용하여 Windows NT/2000 시스템에 대한 공격을 한다.
4. 증상
Code Blue웜에 감염된 피해시스템들은 속도가 현저히 저하되며, 경우에 따라서는 웹서비스나 시스템 자체가 완전히 마비될 수 있다. 또한 시스템 재 부팅시 자동실행되도록 레지스트리를 수정하여 아래의 레지스트리키를 생성시킨다.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Domain Manager=“c:\svchost.exe”.
또한 c:\Svchost.exe, c:\d.vbs 및 웹서비스의 실행가능 디렉토리인 C:\Inetpub\wwwroot\scripts에 Httpext.dll이 생성된다.
※ 주의 : 아래의 파일은 정상적인 파일이다.
c:\windows\system32\Svchost.exe
c:\windows\system32\dllcache\Svchost.exe
c:\windows\system32\dllcache\httpext.dll
c:\windows\system32\intsrv\httpext.dll
httpext.dll과 같은 파일들이 시스템내에 생성될 수 있다. 또한 오전 10시 ~ 오전 11시 사이에 중국쪽에 할당된 IP인 211.99.196.135로 접속시도를 감행하여 서비스거부공격을 유발시킨다.
5. 해결방법
Windows NT/2000 시스템에 대해 아래의 패치를 즉시 적용하여 공격에 악용되는 취약점을 제거한다.
o IIS 4.0 http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
o IIS 5.0 http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
※ Microsoft사의 MS00-057패치(Unicode 취약성 패치)를 적용한 사용자는 이 취약점에 대해서 추가적인 패치를 적용할 필요가 없다. 이미 알려진 IIS 4.0/5.0의 취약점을 이용하여 공격하므로 해당 patch를 적용한 서버는 해당 취약점이 존재하지 않는다.
※ IIS 4.0 패치는 Window NT 4.0 서비스팩 5와 6a에 적용가능하며, IIS 5.0 패치는 Windows 2000 서비스팩 1에 적용가능하며, 서비스팩 2에는 이미 해당취약점에 대한 패치가 포함되어 있으므로 서비스팩 2를 이미 설치하였을 경우 추가적인 패치가 필요없다.
(자료출처: www.certcc.or.kr)
