Win 2008 블 루 스크린 허점 폭로
4680 단어 Win2008블 루 스크린 구멍
블 루 스크린 구멍 이 위협 하 는 것 은 서버 운영 체제 인 윈도 서버 2008 입 니 다.이 는 윈도 서버 2008 블 루 스크린 이 서버 서 비 스 를 중단 하 게 된다 는 뜻 입 니 다...........................................
질문:Windows Server 2008 블 루 스크린 구멍
위해:서버 블 루 스크린 서비스 정지
위기:서버 의 블 루 스크린 고통
저 는 안 천 실험실 의 싹 이 비 를 만 났 습 니 다.제 가 다음 에 말씀 드 리 는 것 은 바로 블 루 스크린 구멍 입 니 다.블 루 스크린 구멍 의 정식 명칭 은 SMB v2 구멍 으로 마감 까지 이 구멍 은 패 치 되 지 않 았 다(10 월 둘째 주 패 치 예정).블 루 스크린 구멍 의 위 해 는 도대체 얼마나 큽 니까?우리 일반 네티즌 들 에 게 피 해 를 줄 수 있 습 니까?블 루 스크린 구멍 은 주로 윈도 서버 2008 을 사용 하 는 서버 를 위협 하 며 비 스타 시스템 에 도 영향 을 미친다.하지만 현재 해커 들 은 시장 점유 율 이 어색 한 비 스타 시스템 에 흥 미 를 느끼 지 않 고 실 용적 으로 변 하고 있다.
윈도 서버 2008 을 서버 운영 체제 로 사용 하 는 것 은 메 일 서버,사이트 서버,데이터 서버,도 메 인 네 임 서버 등 이다.서버 블 루 스크린 이 생기 면 관리 자 는 먼저 알 지 못 할 것 이다.많은 서버 가 전용 모니터 를 설치 하지 않 았 기 때문에 서버 는 한동안 서 비 스 를 중단 할 것 이다.
사이트 서버 가 서 비 스 를 중단 하면 서버 의 모든 사이트 에 접근 할 수 없습니다.메 일 서버 가 서 비 스 를 중단 하면 메 일 을 전송 할 수 없습니다.데이터 서버 가 서 비 스 를 중단 하면 데이터 지원 시스템 이 무 너 질 수 있 습 니 다.예 를 들 어 온라인 게임,인터넷 뱅 킹 등 시스템 입 니 다.도 메 인 네 임 서버 가 서 비 스 를 중단 했다 면'인터넷 차단 문'이 다시 열 릴 수 있 습 니 다.
2007 년 에 마이크로 소프트 는 윈도 서버 2003 을 교체 하 는 차세 대 서버 운영 체제 인 윈도 서버 2008 을 발표 했다.이 시스템 은 다 핵 처리 기 를 지원 하고 64-bit 기술,가상 화 및 최 적 화 된 전원 관리 등 기능 을 가지 고 있어 많은 기업 사용자 들 이 서버 운영 체 제 를 이 시스템 으로 바 꾸 도록 끌 어 들 였 다.
시장조사 기관 가 트 너 가 제공 한 데이터 에 따 르 면 2007 년 전 세계 에서 출하 된 서버 에서 윈도 서버 의 점유 율 은 66.8%로 증 가 했 고 그 중에서 윈도 서버 2008 이 주 류 를 차지 했다.2008 년 부터 2009 년 까지 윈도 서버 2008 은 마이크로소프트 의 주력 제품 중 하나 로 점유 율 이 상승 세 를 보 였 다.상기 데이터 에 따 르 면 전 세계 에서 약 5 분 의 1 의 서버 가 사용 하 는 운영 체 제 는 윈도 서버 2008 이다.
원리:SMB 넘 침
이번에 블 루 스크린 에 구멍 이 생 긴 이 유 는 SRV 2.SYS 라 는 드라이버 가 기형 적 인 데이터 구조 요청 을 정확하게 처리 하지 못 했 기 때문이다.해커 가 악의 적 으로 악성 기형 의 데이터 메 시 지 를 만들어 윈도 서버 2008 이 설 치 된 서버 에 보 내 면 크로스 메모리 인용 행 위 를 촉발 하여 해커 가 임의의 악성 코드 를 실행 할 수 있 도록 한다(그림 1).
주석:SMB(Server Message Block,Common Internet File System)는 마이크로소프트 가 개발 한 소프트웨어 프로그램 급 네트워크 전송 프로 토 콜 로 한 네트워크 의 기 계 를 컴퓨터 파일,프린터,직렬 포트 와 통신 등 자원 을 공유 하 는 데 주요 역할 을 한다.그것 도 인 증 된 프로 세 스 간 통신 기능 을 제공한다.이 기 계 는 주로 Microsoft Windows 가 장 착 된 기계 에 사용 되 는데,이 기 계 는 Microsoft Windows Network 라 고 불 린 다.SMB v2 는 SMB 프로 토 콜 의 최신 업그레이드 버 전이 다.
형상 적 인 비 유 를 하 자 면,이것 은 마치 다리 의 검문소 와 같다.검사원 은 트럭 에 표 시 된 톤 에 따라 트럭 이 이 다 리 를 통과 할 수 있 는 지 를 추산 할 수 있 을 뿐,사실상 해커 는 적재량 을 초과 한 트럭 처럼 합 격 된 톤 을 검문소 에 통과 시 킬 수 있다.진정한 무 게 를 달 지 않 았 기 때문에 검사원 들 은 단지 톤 수 를 표시 하여 식별 하 였 을 뿐,최종 적 으로 적재량 을 초과 한 트럭 이 다리 의 안전 을 위 태 롭 게 하여 다리 가 망 가 졌 다.
시 뮬 레이 션:블 루 스크린 구멍 실측
STEP 1:블 루 스크린 구멍 테스트 프로그램(이 프로그램 은 안 천 실험실 에서 특제 되 었 으 나 위해 가 너무 커서 다운 로드 를 제공 할 수 없습니다)을 준비 한 다음 에 네트워크 에서 포트 스 캔 프로그램 을 찾 고 다운로드 합 니 다.이번 테스트 에서 우리 가 선택 한 것 은 L-ScanPort 포트 스캐너 입 니 다.
STEP 2:L-ScanPort 포트 스캐너(그림 2)를 열 고 IP 주소 란 에 스 캔 하고 싶 은 네트워크 단락 을 입력 합 니 다.예 를 들 어'192.168.1.1'을 시작 부분 으로 하고'192.168.225.255'를 끝 부분 으로 합 니 다.그리고 소프트웨어 인터페이스 에서'포트 목록'하 나 를 찾 아'445'포트 를 선택 하고'GO'단 추 를 누 르 면 스 캔 합 니 다.
445 포트 를 여 는 윈도 서버 2008 이 있다 면 해커 가 블 루 스크린 공격 을 할 수 있다 는 뜻 이다.테스트 에서 우 리 는 윈도 서버 2008 을 설치 하고 SMB 공유 프로 토 콜 을 시작 하 는 서버 를 준비 했다.이 서버 의 IP 주 소 를 스 캔 하여 기록 한 후 공격 테스트 를 준비 했다.
STEP 3:공격 자 역할 을 하 는 컴퓨터 에서 우 리 는'명령 프롬프트'를 열 고 테스트 프로그램 을 CD 루트 디 렉 터 리 에 두 고 C:\>루트 디 렉 터 리 에 공격 명령 을 입력 합 니 다:SMBv 2.exe[공격 당 하 는 서버 IP 주소](그림 3).
우 리 는 가장 빠 른 속도 로 피 공격 테스트 서버 앞 에 달 려 가 다음 장면 을 보 았 다(그림 4).
방비:패 치 없 이 이렇게 방비 하 다
현재 이 구멍 은 패 치가 없 기 때문에 우 리 는 임시 해결 방안 을 제시 합 니 다.관리 자 는 방화벽 에 139 포트 와 445 포트 를 수 동 으로 닫 아야 합 니 다.이 방법 은 인터넷 에서 요청 되 지 않 은 모든 입 소 통신 을 차단 할 수 있 지만 이 협 의 를 중단 하면 사용자 가 네트워크 에서 공유 하 는 문서 와 프린터 를 정상적으로 사용 하지 못 한 다 는 것 을 의미 합 니 다.
심도 분석
대부분의 보안 연구원 들 은 이 구멍 이 블 루 스크린 효과 만 실현 할 수 있다 고 믿 지 않 는 다.이 마이크로소프트 정 부 는 한때 다른 공격 행 위 를 실현 할 수 없다 고 생각 했 던 구멍 이 원 격 실행 코드 를 실현 할 수 있 는 고위 험 구멍 으로 바 뀌 었 다 고 알 고 있다.보안 연구원 들 은 새로운 수단 을 통 해 해커 가 만 든 악성 코드,예 를 들 어 뒷문,목마 등 을 이용 해 서버 전 체 를 통제 하 는 목적 을 실현 할 수 있다 는 사실 을 발견 했다.
해커 가 파일 공유 서버 를 제어 할 수 있다 면 윈도 서버 2008 서버 에 저 장 된 기업 데 이 터 를 해커 가 훔 치 는 것 은 식 은 죽 먹 기다.사건 의 심각 성 은 많은 안전 조직의 상상 을 뛰 어 넘 었 다.이때 전 세계 해커 들 이 이 구멍 을 미 친 듯 이 분석 하고 있 을 지도 모른다.그 뒤 를 이 어 이 구멍 을 이용 한 서버 웜 공격 폭풍 이 뒤 를 이 을 가능성 이 높다.