안녕하세요 유똥입니다.
최근 Windows 운영 체제의 인증되지 않는 공격자 패킷을 처리하는 HTTP 프로토콜 취약점이 확인 되었습니다.
해당 취약점 점검 및 조치관련하여 포스팅 진행하겠습니다.
작업개요
대부분의 상황에서 인증되지 않은 공격자는 패킷을 처리하기 위해 HTTP 프로토콜 스택(http.sys)을 사용하여
대상 서버에 특별히 제작된 패킷을 보낼 수 있으며, 해당 취약점을 통해 원격 코드 실행할 수 있습니다.
작업대상
■ 취약 버전
Windows 10 버전 20H2
Windows 10 버전 21H1
Windows 10 버전 21H2
Windows 11 버전 21H2
Windows Server 2022
■ 확인 필요 버전
- 기본 취약 버전은 아니나 레지스트리 값 있는지 확인 필요
Windows Server 2019
Windows 10 버전 1809
※ 특이사항
Windows Server 2019 및 Windows 10 버전 1809는 기본적으로 취약하지 않습니다 .
EnableTrailerSupport 레지스트리 값 을 통해 HTTP 트레일러 지원을 활성화한 경우 시스템 취약점이 있습니다.
아래 DWORD 레지스트리 값 "EnableTrailerSupport"이 존재 하는경우 삭제하여 조치 가능 합니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
CVE
※ CVE 코드 : CVE-2022-21907
※ 세부내용 : HTTP Protocol Stack 원격 코드 실행 취약점
※ 참고 URL : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907
※ 패치 버전 : MS 2022년 1월 보안 업데이트로 취약점 해결 됨
조치방안
1) PowerShell 실행
2) OS 버전 확인
systeminfo | findstr "OS"
3) EnableTrailerSupport 레지스트리 값 활성화 여부 확인
Get-Item -Path Registry::HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
여기까지 원격코드 취약점 대응 방안에 대하여 알아보았습니다.
도움이 되셨다면 구독과 좋아요
궁금하신 내용이 있으시면 댓글 부탁드립니다.
'IT > Windows' 카테고리의 다른 글
| 윈도우 백업설정 (0) | 2023.03.28 |
|---|---|
| Windows Server 2019 설치 (0) | 2023.03.02 |
| [보안이슈] NEGOEX / 원격 코드 실행 취약점(CVE-2022-37958) 점검 (0) | 2023.01.16 |
| 윈도우 modsecurity 설치 (2) | 2021.12.22 |
| 윈도우 IPSec 설정 스크립트 (0) | 2021.06.17 |
최근댓글