현재 위치

›› Forums ›› 이슈 ›› 뉴스, 새소식

[SEC-INFO] Null 패스워드 취약점

함기훈의 이미지
글쓴이: 함기훈 / 작성시간: 토, 2003/01/25 - 6:27오전

보낸 사람 Jungu Kang <jgkang@cert.certcc.or.kr>
받는 사람 sec-info@cert.certcc.or.kr
받은 날짜 2003년 01월 25일 00시 19분
편지 제목 Null 패스워드 취약점

안녕하세요. KISA의 강준구입니다.

최근 DDoS공격이 급증하고 있습니다. 여러 원인중의 하나가 Null 패스워드
사용입니다.
이에 대한 보안 권고문을 발표합니다. 업무에 참고하셔서 향후 DDoS 공격에
국내 서버가 이용되는 일이 없도록 노력해야 되겠습니다.

======================
KA-2003-03: Null Password Vulnerability
----------------------

최초작성일 : 2003-01-22
갱 신 일 :
출 처 : KISA/CERTCC-KR
작 성 자 : 강준구(jgkang@certcc.or.kr)

-- 제목 --------------
Null 패스워드 취약점

-- 해당 시스템 --------
Windows 2000 Professional
Windows 2000 Server
Windows XP
Windows 95/98

--영향-----------------
공격자는 패스워드 설정이 없는 Windows계열 시스템에 접근하여 시스템
관리자권한을 획득한다.
왜냐하면 윈도우 시스템의 C 드라이브는 기본적으로 공유가 되어져 있으므로
패스워드가 없다면
바로 시스템으로 접근을 할 수 있는 것이다. 공격자는 시스템에 침입하여
백도어와 Troijan horse와
같은 프로그램을 설치하여 분산서비스 공격을 할 수 있는 등 시스템을
자유롭게 이용한다.
또한, 프로세스를 숨기는 프로그램을 설치하여 관리자도 모르는 프로세스를
실행시키기도 한다.

-- 설명-----------------------------
시스템 관리자의 관리 소홀로 시스템에 대한 중요 보안 패치가 되어 있지
않고, 관리의 편의성을
이유로 추측이 가능한 패스워드를 사용하거나 패스워드를 설정하지 않아
패스워드가 NULL값을
가지고 있다. 패스워드를 설정하지 않은 채 Windows계열 시스템을 사용한다는
자체는 이미
보안을 넘어서서 공격자에게 자신의 시스템을 넘긴 것을 의미한다. 따라서,
현재 네트웍에
연결된 시스템에서 패스워드를 사용하지 않고 있다면 해킹의 가능성을
의심하여야 한다.

시스템이 자주 다운될 경우, 공통 네트웍이 특별한 이유 없이 느려지는 경우,
그리고 평소
열려있지 않는 포트(예:8535, 8536 포트)가 열려있다면 시스템이 침입을 당한
경우일 가능성이 높다.
현재 열려진 포트 확인은 netstat 명령어를 이용하여 확인 할 수 있다. 현재
8535, 8536포트들이
DDoS 공격에 많이 사용되고 있다.

-- 해결책--------------------------
1. 많은 경우 불편하거나 패스워드 설정방법을 몰라서 패스워드를 설정하지
않은 경우가 많았다.
따라서 아래의 방법으로 패스워드 설정을 하여야 한다.

시작 버튼 -> 설정 -> 제어판 -> 사용자 및 암호를 선택한다.
암호를 설정할 사용자를 선택한 후 새 암호를 입력하면 된다. 여기서 반드시
Administrator의
암호는 반드시 재 설정을 하여야 한다. Guest 계정은 사용하지 않도록
기본설정이 되어 있으나
만약 사용한다면 마찬가지로 암호를 재 설정을 하여야 한다. 왜냐하면
공격자는 기본적으로
Administrator와 Guest라는 계정은 윈도우 시스템이 공통적으로 사용하고
있다는 사실을 알고
있기 때문이다.

2. 다소 불편하더라도 패스워드를 매 분기마다 변경한다.

3. 운영체제 패치 사이트를 참고해서 패치를 적용한다.(MS 패치 사이트)
http://www.microsoft.com/korea/technet/security/current.asp

4. 공격자로부터 침입을 당한 시스템이라고 판단된 경우:
- 외부로 DDOS 공격을 하는 경우가 많기 때문에 외부와 연결된 네트워크
선을 뽑는다.
- 피해를 줄이기 위해서 기존의 데이터를 백업한다.
- 대부분의 시스템에 백도어 프로그램이 설치되어 있기 때문에 크래커의 재
접속을 막기
위해서 시스템을 재 설치한다.
- 방화벽이 없어 외부에서 쉽게 직접 접근이 가능하므로, 방화벽이 없을
경우 방화벽을 설치한다.
- 방화벽이 있을 경우에 잘못된 설정이 있는지 방화벽 룰을 점검한다.
- 외부에서 노출될 필요가 없는 서버는 내부에서만 접근이 가능하도록
방화벽 룰을 설정한다.

------- 참조 사이트 --------------------------
http://www.certcc.or.kr
http://www.microsoft.com/korea/technet/security/current.asp
--------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert@certcc.or.kr
==============================================================

--
-+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-
강 준 구(Jungu Kang)연구원
KISA(Korea Information Security Agency)
CERT(Computer Emergency Responce Team) * Coordination Center
E-Mail : jgkang@certcc.or.kr / [Phone] 02-405-5526 (+82-2-405-5526)
[PGP Public Key - http://www.certcc.or.kr/teampub.txt]
Web Site : http://www.certcc.or.kr, http://www.cyber118.or.kr
-+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-

---------------------------------------------------------
sec-info Mailing list 탈퇴를 원하시는분은 메시지 본문에
다음과 같이 쓰신후 <Majordomo@certcc.or.kr>로 메일을
보내 주시면 됩니다.

unsubscribe sec-info your-mail-address
---------------------------------------------------------

Forums: 
뉴스, 새소식

둘러보기