주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Windows 서버 점검 항목
■ 취약점 개요
○ 점검개요 : IIS 미사용 스크립트 매핑 제거 여부 점검
○ 점검목적 : 사용하지 않은 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함
○ 보안위협 : 미사용 확장자 매핑을 제거하지 않은 .htr .idc .stm .shtm .shtml .printer .htw .ida .idq 확장자는 버퍼 오버플로우(Buffer Overflow) 공격 위험이 존재함
○ 점검대상 : Windows 2000, 2003, 2008, 2012, 2016 등
○ 판단기준
- 양호 : 취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)0| 존재하지 않는 경우
- 취약 : 취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)이 존재하는 경우
■ 점검방법
○ Window 2000(IIS 5.0), 2003(IIS 6.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 실행> INETMGR> 웹 사이트> 해당 웹 사이트> 속성 |
○ Window 2008(IIS 7.0), 2012(IIS 8.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 실행> INETMGR> 웹 사이트> 해당 웹 사이트 |
■ 조치방안
○ Window 2000(IIS 5.0), 2003(IIS 6.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 실행> INETMGR> 웹 사이트> 해당 웹 사이트> 속성 |
|
Step 2 |
[매핑] 탭에서 취약한 매핑 제거
|
○ Window 2008(IIS 7.0), 2012(IIS 8.0)
|
Step 1 |
아래 경로를 참고하여 설정 확인 시작> 실행> INETMGR> 웹 사이트> 해당 웹 사이트 |
|
Step 2 |
[매핑] 탭에서 취약한 매핑 제거
|
■ 취약한 매핑 종류
|
확장자명 |
기능 |
취약점 |
|
asp |
○ Active Server Pages 기능 지원 |
○ Buffer Overflow MS02-018 - Win 2000 SP3 이상 양호 |
|
htr |
○ Web-based password reset : Outlook Web Access 등에서 웹 기반 응용 프로그램으로 자신의 사용자 계정 암호 변경 |
○ +.htr 소스 공개 취약점 MS01-004 - Win 2000 SP3, NT SP 7.0 |
|
idc |
○ Internet Database Connector : SQL 서버에 연결하기 위한 정보 등을 관리함. ○ asp를 통해 같은 작업을 수행 가능 |
○ Web 디렉토리 패스 공개 Q193689 - NT4.0, NT SP6a 이상 양호 |
|
stm, stml, shtml |
○ Server-Side Includes |
○ Buffer Overflow MS01-044 - Win 2000 SP3 이상 양호 |
|
printer |
○ Internet Printing : URL을 사용하여 페이지를 프린터로 인쇄할 수 있도록 함 ○ IIS가 인터넷이나 인트라넷을 통해 인쇄 ○ 서버 기능 수행 |
○ Buffer Overflow MS01-023 - Win 2000 SP2 이상 양호 |
|
ida, idq |
○ Index Server : idq.dll에 매핑되며 인덱스 ○ 서버를 쿼리할 때 사용 |
○ Buffer Overflow MS01-033 - Win 2000 SP3 이상 양호 |
|
htw |
○ Index Server : webhits.dll에 매핑되며, |
○ Webhit 소스 공개 취약점 MS00-006 - Win 2000 SP1 이상 양호 |
■ 조치 시 영향
일반적인 경우 무관
■ 사용하지 않는 스크립트 매핑은 보안에 위협이 될 수 있으므로 개발자와 협의하여 불필요한 매핑인지 확인한 후 제거해야 함
■ .asp나 .shtm 과 같은 확장자들은 특정 DLL 파일과 매핑 되어 있어, 이러한 파일들에 대한 요청이 들어오면 해당 DLL에 의해 처리됨
■ 스크립트 매핑 : IIS는 클라이언트가 요청한 자원의 파일 확장자에 따라서 이를 처리할 ISAPI 확장 핸들러를 지정하게 되어 있는데 이를 스크립트 매핑이라고 함
■ 버퍼 오버플로우(Buffer Overflow) : 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것
'취약점 진단 가이드 > WINDOWS 서버 진단 가이드' 카테고리의 다른 글
| W-35(상) IIS WebDAV 비활성화 (0) | 2021.03.10 |
|---|---|
| W-34(상) IIS Exec 명령어 쉘 호출 점검 (0) | 2021.03.09 |
| W-32(상) IIS 데이터 파일 ACL 적용 (0) | 2021.03.08 |
| W-31(상) IIS 가상 디렉토리 삭제 (0) | 2021.03.07 |
| W-30(상) IIS DB 연결 취약점 점검 (0) | 2021.03.06 |