본문 바로가기
IT 보안소식

[MS12-020 RDP Exploit] 원격 데스크탑 프로토콜(RDP) 취약점을 이용한 Exploit 주의!!

by 잡다한 처리 2012. 3. 16.
반응형



지난 3월 14일 마이크로소프트 정기 보안업데이트 가 진행 되었다.
(모두 업데이트를 했으니라 생각하고 싶다;;)

업데이트 내용 중 원격데스크탑, RDP(Remote Desktop Protocol)라고 불리우는 프로토콜의 취약점이 패치되었지만,
해당 취약점을 노린 악성파일이 늘어 날 조짐을 보이고 있다. 


[MS12-020] 원격 데스크톱에서 발생하는 취약점으로 인한 원격코드 실행 문제


□ 영향

  o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득


□ 설명

  o 공격자가 특수하게 조작된 RDP패킷 시퀀스를 취약점이 존재하는 시스템에 전송할 경우, 원격코드가 실행될 수 있는 취약점이 존재

  o 관련취약점 :

    - 원격 데스크톱 프로토콜 취약점(CVE-2012-0002)

    - 터미널 서버 서비스 거부 취약점(CVE-2012-0152)

  o 영향 : 원격코드 실행

  o 중요도 : 긴급


□ 해당시스템

  o 영향 받는 소프트웨어

    - Windows XP 서비스 팩3

    - Windows XP Professional 64-bit 서비스 팩2

    - Windows Server 2003 서비스 팩2

    - Windows Server 2003 64-bit 서비스 팩2

    - Windows Server 2003 Itanium 서비스 팩2

    - Windows Vista 서비스 팩2

    - Windows Vista 64-bit 서비스 팩2

    - Windows Server 2008 서비스 팩2

    - Windows Server 2008 64-bit 서비스 팩2

    - Windows 7 서비스 팩0, 1

    - Windows 7 64-bit 서비스 팩0, 1

    - Windows Server 2008 R2 64-bit 서비스 팩0, 1

    - Windows Server 2008 R2 Itanium 서비스 팩0, 1

    - Windows Server 2008 Itanium 서비스 팩2


□ 해결책

  o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용


□ 참조사이트


해당 악성파일을 요약해보면, Exploit File 을 가지고 원격으로 붙을 IP와 행위를 전송하면 실제 원격 PC에서 동작을 하게 되는 내용으로 확인된다.

이렇게 된다면 RDP Worm 이 나오는일은 시간문제로 보여진다.

예전 컨피커(MS08-067) 때를 생각하면 짜증나지만, 그 당시보다는 파급력이 좀 낮지 않을까 싶다.



- 관련내용



"아무튼 자나깨나 보안 업데이트는 꼭 좀 하자!!!"




댓글