출처 : 국가사이버안전센터

 

■ 개 요
  Micrososft Video ActiveX 컨트롤(msvidctl.dll)에서 원격코드 실행이 가능한 신규(7.7 기준 보안패치 미발표) 취약점이 발표됨에 따라 각급기관 담당자들은 해당 취약점을 악용한 해킹에 대비, 아래의 '임시 대응책'을 조속히 수행할 것을 권고합니다.

--------------------------------------------------------------------------------

■ 해당 시스템

   o 영향받는 소프트웨어

  - Windows XP SP 2 and Windows XP SP 3

  - Windows XP Professional x64 Edition SP 2

  - Windows Server 2003 x64 Edition SP 2

  - Windows Server 2003 with SP2 for Itanium-based Systems

o 영향받지 않는 소프트웨어
  - Microsoft Windows 2000 SP 4

  - Windows Vista(SP1, SP2)

  - Windows Vista x64 Edition(SP1, SP2)

  - Windows Server 2008 for 32-bit Systems(SP2)

  - Windows Server 2008 for x64-based Systems(SP2)

  - Windows Server 2008 for Itanium-based Systems(SP2)

--------------------------------------------------------------------------------

■ 임시 대응 방법
    o MS社의 정식 보안업데이트가 발표되기 전까지 임시 보안대책으로 모든 윈도우 PC에서 MS Video ActiveX 컨트롤을 실행하지 않도록 아래 링크의 '해결 방법 사용'란에 있는 'Microsoft Fix it' 프로그램을 다운로드 받아 실행  

http://support.microsoft.com/kb/972890

  * 일부 비디오 처리가 원활하지 않을 수 있으며, 향후 MS社사의 패치(사이버안전센터 홈페이지 공지 예정) 적용 등으로 기능 복원이 필요하면 '해결 방법 사용 안 함'에 있는 프로그램을 실행

o 상기 기술적 대책은 해당 취약점에 대한 근본적인 해결책이 아니므로 신뢰할 수 없는 웹사이트 방문을 자제하고 발송자가 확인되지 않는 수상한 이메일에 첨부된 링크를 클릭하지 않도록 주의 요망

o 백신 소프트웨어를 최신버전으로 유지하고 실시간 감시 기능을 사용

--------------------------------------------------------------------------------

■ 관련 사이트
    → http://www.microsoft.com/technet/security/advisory/972890.mspx 

    → http://www.securityfocus.com/bid/35558/info
    → http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0015

신고
Posted by hotpoto

Windows에서 제공하는 Alert 기능을 활용하여 시스템 관련 모니터링을 하는 경우가 있다. Event Log에 이력을 남겨 관리할 수 있으며, 특정 조건 (임계치를 초과 할 경우)에서 수행할 동작을 미리 지정하여 시스템 운영의 자동화에 도움을 줄 수 있다.

 

이때 강력하게 사용할 수 있는 명령어가 “Logman.exe”란 명령어이다. 결론부터 말하자면 Windows 2003 과 Windows 2008에서 Command 로 수행될 수 있는 방법에는 약간의 차이가 있다.

 

Windows 2003에서 Logman.exe 명령어는 counter & trace Log만 명령어로 수행할 수 있다. 만약 성능로그를 활용해서 시스템 모니터링을 강화하고 싶다면, 특정 Registry 값을 Export하여 다른 서버에 등록해야 하는 번거로움이 있다.

 

[참고] Perfmon 中 Alert Log 배포를 쉽게 하는 방법

 

1. 원본 Source 서버에서 성능 모니터링을 수행하고자 하는 항목에 대한 Template을 작성한다.

 

image

 

2. 새로 생성한 Registry값을 확인하여 SID값을 원하는 값으로 수정한다.

 

   Key Value : HKLM\SYSTEM\CurrentControlSet\Services\SysmonLog\Log Queries

 

   image

 

3. 수정한 Registry 값을 Export 받은 후 다른서버에 적용한다.

 

만약 특정 Action 발생 후 Script를 실행한다면 수행할 계정을 선택하게 된다. 이러한 경우에는 배포하려는 서버에 공통계정을 만들어 두어 관리를 한다면 좀 더 효과적인 관리가 될 수 있다.

 

그럼 Windows 2008에도 똑같은 위치에 Registry값이 존재할까? 대답은 No!!!이다. 물론 Windows 2003의 Registry값을 등록할 경우 Key Value는 등록이 되며 Windows 2008 Perfmon에도 해당 설정된 값은 보이게 되지만 실행은 되지 않는다.

그럼 Windows 2008에는 이러한 작업을 일일히 해야 하는 것일까?

 

이런 Case일 경우 Windows 2008에서는 logman.exe 명령어를 사용하면 된다.

 

image

 

Windows 2008에서 logman 실행화면이다. 각 Command에 따라서 자세한 설명을 보고싶다면, 가령 예들들어 perfmon관련 Counter를 새로 만들고 싶다면 “logman create /?” 이런 방법으로 각 세부 설명을 볼 수 있다.

 

image

 

위 그림에서 확인할 수 있듯이 Windows 2008에서는 alert 뿐만이 아닌 구성 & API관련 내용에 대한 항목도 Command로 수행할 수 있다. 생성 뿐만이 아닌 수정도 아래와 같이 Command Base로 가능하다.

 

image

 

특정 Registry값을 몰라도 일반 CMD명령어로 alert 설정이 가능하기 때문에 배포를 손쉽게 할 수 있으며 내용 수정또한 쉽게 할 수있어 앞으로 이와 같은 Command를 활용하여 Windows서버 관리를 좀더 효율적으로 하면 좋지 않을까~~~^^

신고
Posted by hotpoto

출처 : 국가사이버안전센터

 

■보안업데이트에포함된취약점및관련사이트

1.ActiveDirectory취약점으로인한원격코드실행문제점(긴급,971055)

    o설명
        ActiveDirectory에원격코드실행취약점이존재하여공격자는취약한시스템에조작된LDAP또는LDAPS요청패킷을전송하여

        해당시스템에대해완전한권한획득이가능하다.
            *ActiveDirectory:사용자,그룹,보안서비스,네트워크자원등을중앙에서관리하는기능을제공
            *LDAP(LightweightDirectoryAccessProtocol):인터넷디렉토리를연결,검색,수정하는데사용하는프로토콜
            *LDAPS(LDAPoverSSL):SSL채널을이용하는LDAP으로암호화통신시사용

    o관련취약점
        -ActiveDirectoryInvalidFreeVulnerability(CVE-2009-1138)
        -ActiveDirectoryMemoryLeakVulnerability(CVE-2009-1139)
    o영향받는소프트웨어
        -ActiveDirectoryonMicrosoftWindows2000ServerSP4
        -ActiveDirectoryApplicationModeonWindowsXPProfessionalSP2,SP3
        -ActiveDirectoryApplicationModeonWindowsXPProfessionalx64EditionSP2
        -ActiveDirectoryonWindowsServer2003SP2
        -ActiveDirectoryApplicationModeonWindowsServer2003SP2
        -ActiveDirectoryonWindowsServer2003x64EditionSP2
        -ActiveDirectoryApplicationModeonWindowsServer2003x64EditionSP2
        -ActiveDirectoryonWindowsServer2003SP2forItanium-basedSystems

    o영향받지않는소프트웨어
        -ActiveDirectoryonWindowsServer2008for32-bitSystems,SP2
        -ActiveDirectoryLightweightDirectoryServiceonWindowsServer2008for32-bitSystems,SP2
        -ActiveDirectoryonWindowsServer2008forx64-basedSystems,SP2
        -ActiveDirectoryLightweightDirectoryServiceonWindowsServer2008forx64-basedSystems,SP2

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-018.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-018.mspx

2.InternetExplorer누적보안업데이트(긴급,969897)

    o설명
        InternetExplorer에원격코드실행취약점이존재하여공격자는해당취약점을이용한악의적인웹페이지를구축한후사용자의

        방문을유도하여취약시스템에대해완전한권한획득이가능하다.

    o관련취약점
        -RaceConditionCross-DomainInformationDisclosureVulnerability(CVE-2007-3091)
        -Cross-DomainInformationDisclosureVulnerability(CVE-2009-1140)
        -DHTMLObjectMemoryCorruption(CVE-2009-1141)
        -HTMLObjectMemoryCorruption(CVE-2009-1528)
        -UninitializedMemoryCorruptionVulnerability(CVE-2009-1529)
        -HTMLObjectsMemoryCorruptionVulnerability(CVE-2009-1530)
        -HTMLObjectMemoryCorruptionVulnerability(CVE-2009-1531)
        -HTMLObjectMemoryCorruptionVulnerability(CVE-2009-1532)
    o영향받는소프트웨어
        -InternetExplorer5.01SP4onMicrosoftWindows2000SP4
        -InternetExplorer6SP1onMicrosoftWindows2000SP4
        -InternetExplorer6onWindowsXPSP2,SP3
        -InternetExplorer6onWindowsXPProfessionalx64EditionSP2
        -InternetExplorer6onWindowsServer2003SP2
        -InternetExplorer6onWindowsServer2003x64EditionSP2
        -InternetExplorer6onWindowsServer2003SP2forItanium-basedSystems
        -InternetExplorer7onWindowsXPSP2,SP3
        -InternetExplorer7onWindowsXPProfessionalx64EditionSP2
        -InternetExplorer7onWindowsServer2003SP2
        -InternetExplorer7onWindowsServer2003x64EditionSP2
        -InternetExplorer7onWindowsServer2003SP2forItanium-basedSystems
        -InternetExplorer7onWindowsVista,SP1,SP2
        -InternetExplorer7onWindowsVistax64Edition,SP1,SP2
        -InternetExplorer7onWindowsServer2008for32-bitSystems,SP2
        -InternetExplorer7onWindowsServer2008forx64-basedSystems,SP2
        -InternetExplorer7onWindowsServer2008forItanium-basedSystems,SP2
        -InternetExplorer8onWindowsXPSP2,SP3
        -InternetExplorer8onWindowsXPProfessionalx64EditionSP2
        -InternetExplorer8onWindowsServer2003SP2
        -InternetExplorer8onWindowsServer2003x64EditionSP2
        -InternetExplorer8onWindowsVista,SP1,SP2
        -InternetExplorer8onWindowsVistax64Edition,SP1,SP2
        -InternetExplorer8onWindowsServer2008for32-bitSystems,SP2
        -InternetExplorer8onWindowsServer2008forx64-basedSystems,SP2

    o관련사이트

        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-019.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-019.mspx

3.IIS취약점으로인한권한상승문제점(중요,970483)

    o설명
        IIS에원격코드실행취약점이존재하여공격자는악의적으로조작된HTTP요청을전송하여취약한시스템에접근할수있는권한을

        얻을수있다.
        *IIS(InternetInformationServices):MS社에서제공하는웹서버프로그램
    o관련취약점
        -IIS5.0WebDAVAuthenticationBypassVulnerability(CVE-2009-1122)
        -IIS5.1and6.0WebDAVAuthenticationBypassVulnerability(CVE-2009-1535)
    o영향받는소프트웨어
        -InternetInformationServices5.0onMicrosoftWindows2000ServerSP4
        -InternetInformationServices5.1onWindowsXPProfessionalSP2,SP3
        -InternetInformationServices6.0onWindowsXPProfessionalx64EditionSP2
        -InternetInformationServices6.0onWindowsServer2003SP2
        -InternetInformationServices6.0onWindowsServer2003x64EditionSP2
        -InternetInformationServices6.0onWindowsServer2003SP2forItanium-basedSystems

    o영향받지않는소프트웨어
        -InternetInformationServices7.0onWindowsVista,SP1,SP2
        -InternetInformationServices7.0onWindowsVistax64Edition,SP1,SP2
        -InternetInformationServices7.0onWindowsServer2008for32-bitSystems,SP2
        -InternetInformationServices7.0onWindowsServer2008forx64-basedSystems,SP2
        -InternetInformationServices7.0onWindowsServer2008forItanium-basedSystems,SP2

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-020.mspx

4.MSOffice엑셀취약점으로인한원격코드실행문제점(긴급,969462)

    o설명
        MSOffice엑셀에서비정상적인레코드가포함된엑셀파일을처리하는과정에원격코드실행취약점이존재하여공격자는조작된엑셀파일이포함된악의적인웹페이지를구축한후사용자의방문을유도하거나이메일첨부파일을열어보도록유도하여취약시스템에대해완전한권한획득이가능하다.

    o관련취약점
        -RecordPointerCorruptionVulnerability(CVE-2009-0549)
        -ObjectRecordCorruptionVulnerability(CVE-2009-0557)
        -ArrayIndexingMemoryCorruptionVulnerability(CVE-2009-0558)
        -StringCopyStack-BasedOverrunVulnerability(CVE-2009-0559)
        -FieldSanitizationMemoryCorruptionVulnerability(CVE-2009-0560)
        -RecordIntegerOverflowVulnerability(CVE-2009-0561)
        -RecordPointerCorruptionVulnerability(CVE-2009-1134)

    o영향받는소프트웨어
        -MicrosoftOffice2000SP3
        -MicrosoftOfficeXPSP3
        -MicrosoftOffice2003SP3
        -2007MicrosoftOfficeSystemSP1,SP2
        -MicrosoftOffice2004forMac
        -MicrosoftOffice2008forMac
        -OpenXMLFileFormatConverterforMac
        -MicrosoftOffice엑셀Viewer2003SP3
        -MicrosoftOffice엑셀Viewer
        -MicrosoftOfficeCompatibilityPackforWord,엑셀,andPowerPoint2007FileFormatsSP1,SP2
        -MicrosoftOfficeSharePointServer2007SP1,SP2(32-biteditions)
        -MicrosoftOfficeSharePointServer2007SP1,SP2(64-biteditions)

    o영향받지않는소프트웨어
        -MicrosoftOfficeConverterPack
        -Works8.5
        -Works9

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-021.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-021.mspx

5.MS윈도우PrintSpooler취약점으로인한원격코드실행문제점(긴급,961501)

    o설명
        MS윈도우의PrintSpooler에서RPC요청을처리하는과정에원격코드실행취약점이존재하여공격자는조작된네트워크패킷을전송하여취약시스템에대해완전한권한획득이가능하다.
    o관련취약점
        -BufferOverflowinPrintSpoolerVulnerability(CVE-2009-0228)
        -PrintSpoolerReadFileVulnerability(CVE-2009-0229)
        -PrintSpoolerLoadLibraryVulnerability(CVE-2009-0230)
    o영향받는소프트웨어
        -MicrosoftWindows2000ServerSP4
        -WindowsXPProfessionalSP2,SP3
        -WindowsXPProfessionalx64EditionSP2
        -WindowsServer2003SP2
        -WindowsServer2003x64EditionSP2
        -WindowsServer2003SP2forItanium-basedSystems
        -WindowsVista,SP1,SP2
        -WindowsVistax64Edition,SP1,SP2
        -WindowsServer2008for32-bitSystems,SP2
        -WindowsServer2008forx64-basedSystems,SP2
        -WindowsServer2008forItanium-basedSystems,SP2

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-022.mspx

6.WindowsSearch취약점으로인한정보유출문제점(보통,963093)

    o설명
        WindowsSearch4.0의파일미리보기기능에취약점이존재하여공격자에의해악의적으로제작된HTML파일이검색결과로보여질경우취약한시스템의정보가노출될수있다.
        *WindowsSearch:PC에저장되어있는문서등각종파일을검색하고미리볼수있도록하는기능을제공
    o관련취약점
        -ScriptExecutioninWindowsSearchVulnerability(CVE-2009-0239)
    o영향받는소프트웨어
        -WindowsSearch4.0onWindowsXPSP2,SP3
        -WindowsSearch4.0onWindowsXPProfessionalx64EditionSP2
        -WindowsSearch4.0onWindowsServer2003SP2
        -WindowsSearch4.0onWindowsServer2003x64EditionSP2
    o영향받지않는소프트웨어
        -WindowsVista,SP1,SP2
        -WindowsVistax64Edition,SP1,SP2
        -WindowsServer2008for32-bitSystems,SP2
        -WindowsServer2008forx64-basedSystems,SP2

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-023.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-023.mspx

    7.MSWorks변환기취약점으로인한원격코드실행문제점(긴급,957632)
    o설명
        MSWorks변환기에서Works(.WPS)파일을처리하는과정에원격코드실행취약점이존재하여공격자는조작된Works파일이포함된악의적인웹페이지를구축한후사용자의방문을유도하거나이메일첨부파일을열어보도록유도하여취약시스템에대해완전한권한획득이가능하다.
        *MSWorks:MSOffice에포함된문서작성프로그램(국내未출시)
    o관련취약점
        -FileConverterBufferOverflowVulnerability(CVE-2009-1533)
    o영향받는소프트웨어
        -MicrosoftOfficeWord2000SP3
        -MicrosoftOfficeWord2002SP3
        -MicrosoftOfficeWord2003SP3withtheMicrosoftWorks6?9FileConverter
        -MicrosoftOfficeWord2007SP1
        -MicrosoftWorks8.5
        -MicrosoftWorks9

    o영향받지않는소프트웨어
        -MicrosoftOffice2007SP2
        -MicrosoftOffice2004forMac
        -MicrosoftOffice2008forMac
        -OpenXMLFileFormatConverterforMac
        -MicrosoftOfficeWordViewer2003SP3
        -MicrosoftOfficeWordViewerSP1,SP2
        -MicrosoftOfficeCompatibilityPackSP1,SP2

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-024.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-024.mspx

8.윈도우커널취약점으로인한권한상승문제점(중요,968537)

    o설명
        윈도우커널에서입력값을검증하는과정등에권한상승취약점이존재하여해당취약점공격에성공한공격자는취약한시스템의커널모드에서악성코드등임의의코드를실행시킬수있다.
    o관련취약점
        -WindowsKernelDesktopVulnerability(CVE-2009-1123)
        -WindowsKernelPointerValidationVulnerability(CVE-2009-1124)
        -WindowsDriverClassRegistrationVulnerability(CVE-2009-1125)
        -WindowsDesktopParameterEditVulnerability(CVE-2009-1126)
    o영향받는소프트웨어
        -MicrosoftWindows2000SP4
        -WindowsXPSP2,SP3
        -WindowsXPProfessionalx64EditionSP2
        -WindowsServer2003SP2
        -WindowsServer2003x64EditionSP2
        -WindowsServer2003forItanium-basedSystemsSP2
        -WindowsVista,SP1,SP2
        -WindowsVistax64Edition,SP1,SP2
        -WindowsServer2008for32-bitSystems,SP2
        -WindowsServer2008forx64-basedSystems,SP2
        -WindowsServer2008forItanium-basedSystems,SP2

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-025.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-025.mspx
9.RPC취약점으로인한권한상승문제점(중요,970238)

    o설명
        MS윈도우의RPC에서내부상태정보를업데이트하는과정에권한상승취약점이존재하여해당취약점공격에성공한공격자는악성코드등을실행시켜취약한시스템에대해완전한권한획득이가능하다.
        *RPC(RemoteProcedureCall):네트워크상의다른시스템에있는프로그램에서비스를요청할때사용하는프로토콜
    o관련취약점
        -RPCMarshallingEngineVulnerability(CVE-2009-0568)
    o영향받는소프트웨어
        -MicrosoftWindows2000SP4
        -WindowsXPSP2,SP3
        -WindowsXPProfessionalx64EditionSP2
        -WindowsServer2003SP2
        -WindowsServer2003x64EditionSP2
        -WindowsServer2003forItanium-basedSystemsSP2
        -WindowsVista,SP1,SP2
        -WindowsVistax64Edition,SP1,SP2
        -WindowsServer2008for32-bitSystems,SP2
        -WindowsServer2008forx64-basedSystems,SP2
        -WindowsServer2008forItanium-basedSystems,SP2

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-026.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-026.mspx

10.MSOffice워드취약점으로인한원격코드실행문제점(긴급,969514)

    o설명
        MS워드에서워드문서를열람하는과정에원격코드실행취약점이존재하여공격자는조작된워드파일이포함된악의적인웹페이지를구축한후사용자의방문을유도하거나이메일첨부파일을열어보도록유도하여취약시스템에대해완전한권한획득이가능하다.
    o관련취약점
        -WordBufferOverflowVulnerability(CVE-2009-0563)
        -WordBufferOverflowVulnerability(CVE-2009-0565)
    o영향받는소프트웨어
        -MicrosoftOfficeWord2000SP3
        -MicrosoftOfficeWord2002SP3
        -MicrosoftOfficeWord2003SP3
        -MicrosoftOfficeWord2007SP1,SP2
        -MicrosoftOffice2004forMac
        -MicrosoftOffice2008forMac
        -OpenXMLFileFormatConverterforMac
        -MicrosoftOfficeWordViewer2003SP3
        -MicrosoftOfficeWordViewer
        -MicrosoftOfficeCompatibilityPackSP1,SP2

    o영향받지않는소프트웨어
        -MicrosoftWorks8.5
        -MicrosoftWorks9

    o관련사이트
        →영문:http://www.microsoft.com/technet/security/Bulletin/MS09-027.mspx
        →한글:http://www.microsoft.com/korea/technet/security/bulletin/MS09-027.mspx

신고
Posted by hotpoto

요즘 Terminal Server 관리 자동화를 위해 VBS를 이용하고 있다. 거의 완전 초보 수준이라 몇개 Script를 이용해서 만들기는 하지만 Output에 대해서는 나름 만족하고 있다. 더 나은 로직으로 관리를 하신 분들도 분명히 계실것이라 생각된다.^^ (저의 블로그를 방문해 주시는 고수 분들의 많은 지적도 부탁드립니다)

 

참고 : http://www.microsoft.com/technet/scriptcenter/default.mspx

 

=======================

CPU & MEM 과점유 프로세스 Kill

=======================

 

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Const ForAppending = 8
Const CONVERT_TO_LOCAL_TIME = True

Set dtmStart = CreateObject("WbemScripting.SWbemDateTime")
dtmStart.SetVarDate Now, CONVERT_TO_LOCAL_TIME

dtmRegular = dtmStart.GetVarDate(CONVERT_TO_LOCAL_TIME)

 

'Kill 하려는 프로세스 Name

Set colProcessList = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = '프로세스이름'")

For Each objProcess in colProcessList
    Wscript.Echo "Process: " & objProcess.Name & " ProcessID : " & objProcess.ProcessID
    dtmStartTime = objProcess.CreationDate
    strReturn = WMIDateStringToDate(dtmStartTime)
    Wscript.Echo strReturn
    Wscript.Echo "Working Set Size: " & objProcess.WorkingSetSize /1024 / 1024
    Wscript.Echo  "CPU Usage : " & CPUUSage(objProcess.ProcessID)


'CPU 사용시간 확인, 단위 : Second
    sngProcessTime = ( CSng(objProcess.KernelModeTime) + _
            CSng(objProcess.UserModeTime)) / 10000000

    timeFlag = DateDiff("h", strReturn, dtmRegular)
    Wscript.Echo "======================================================"

'CPU Time과 CPU사용률을 비교 – CPU 수행시간이 4시간이상 프로세스 중 사용률이 20% 이상, 메모리 사용률 2G 이상
    If   ((sngProcessTime > 18000 And CPUUSage(objProcess.ProcessId) > 20) Or objProcess.WorkingSetSize /1024/1024 > 2000  ) then
        Set objFSO = CreateObject("Scripting.FileSystemObject")
            Set objFile = objFSO.OpenTextFile("파일경로", ForAppending)

 

'Application 에서 teminate function을 사용할 경우 적용가능           
        'objProcess.Terminate()

 

'그렇지 않을 경우 CMD 명령어로 해당 프로세스 Kill
        Rem------------------------------------------------
          Set wshShell = WScript.CreateObject ("WSCript.shell")
          wshshell.run "cmd /c taskkill /f /pid " & objProcess.ProcessID      
       Set wshshell = nothing
          Rem -------------------------------------------------------------
        objFile.WriteLine now & " " & objProcess.Name & " ProcessTime:" & sngProcessTime  & " memory:" & objProcess.WorkingSetSize  /1024 /1024 & " ProcessID : " & objProcess.ProcessID & " CPU Usage : " & CPUUSage(objProcess.ProcessID)
        'objFile.WriteLine "cmd /c taskkill /f /pid " & objProcess.ProcessID
        objFile.Close
    End if

Next

 

'날짜 형식을 Date로 변경하는 Function

Function WMIDateStringToDate(dtmStart)
    WMIDateStringToDate = CDate(Mid(dtmStart, 5, 2) & "/" & _
        Mid(dtmStart, 7, 2) & "/" & Left(dtmStart, 4) _
            & " " & Mid (dtmStart, 9, 2) & ":" & _
                Mid(dtmStart, 11, 2) & ":" & Mid(dtmStart, _
                    13, 2))
End Function

 

'프로세스 사용량을 가져오는 Function

Function CPUUSage( ProcID )
        On Error Resume Next
            Set objService = GetObject("Winmgmts:{impersonationlevel=impersonate}!\Root\Cimv2")
      For Each objInstance1 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
          N1 = objInstance1.PercentProcessorTime
          D1 = objInstance1.TimeStamp_Sys100NS
           Exit For
       Next
        WScript.Sleep(2000)

       For Each perf_instance2 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
           N2 = perf_instance2.PercentProcessorTime
           D2 = perf_instance2.TimeStamp_Sys100NS
           Exit For
       Next

       ' CounterType - PERF_100NSEC_TIMER_INV
       ' Formula - (1- ((N2 - N1) / (D2 - D1))) x 100
        Nd = (N2 - N1)
        Dd = (D2-D1)
         PercentProcessorTime = ( (Nd/Dd))  * 100
      CPUUSage = Round(PercentProcessorTime ,0)
End Function

 

지금 위와 같은 Script를 실행할 경우 결과 파일은 TXT 파일 형태로 떨어지게 된다. 만약 해당 내용을 Event Log에 뿌리고 싶다면 Event Log를 뿌리는 것을 Function으로 작성하여 Script 내에 넣으면 된다.

 

=======================

Citrix 환경에서 특정 User Logoff

=======================

 

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Const ForAppending = 8
Const CONVERT_TO_LOCAL_TIME = True

Set dtmStart = CreateObject("WbemScripting.SWbemDateTime")
dtmStart.SetVarDate Now, CONVERT_TO_LOCAL_TIME

dtmRegular = dtmStart.GetVarDate(CONVERT_TO_LOCAL_TIME)

Set colProcessList = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = '프로세스이름'")

For Each objProcess in colProcessList
    Wscript.Echo "Process: " & objProcess.Name & " ProcessID : " & objProcess.ProcessID & " SessionID : " & objProcess.SessionID
    dtmStartTime = objProcess.CreationDate
    Wscript.Echo "User List : " & UserList(objProcess.CSName, objProcess.SessionID) & " Session ID : " & objProcess.SessionID
    Wscript.Echo "CPU Usage :  " & CPUUSage(objProcess.ProcessId)
    Wscript.Echo "======================================================"
If   (CPUUSage(objProcess.ProcessId) >= 4) then
        Set objFSO = CreateObject("Scripting.FileSystemObject")
        Set objFile = objFSO.OpenTextFile("파일경로", ForAppending)

          Rem------------------------------------------------
          Set wshShell = WScript.CreateObject ("WSCript.shell")
          wshshell.run "cmd /c logoff " & objProcess.SessionID
          Set wshshell = Nothing
          Rem -------------------------------------------------------------
          Critical()
        objFile.WriteLine Now & " "  & "Process: " & objProcess.Name & " ProcessID : " & objProcess.ProcessID & " User List : " & UserList(objProcess.CSName, objProcess.SessionID) & " Session ID : " & objProcess.SessionID
        objFile.Close
    End if

Next

 

'날짜 형식을 Date로 변경하는 Function

Function WMIDateStringToDate(dtmStart)
    WMIDateStringToDate = CDate(Mid(dtmStart, 5, 2) & "/" & _
        Mid(dtmStart, 7, 2) & "/" & Left(dtmStart, 4) _
            & " " & Mid (dtmStart, 9, 2) & ":" & _
                Mid(dtmStart, 11, 2) & ":" & Mid(dtmStart, _
                    13, 2))
End Function

 

'프로세스 사용량을 가져오는 Function

Function CPUUSage( ProcID )
        On Error Resume Next
            Set objService = GetObject("Winmgmts:{impersonationlevel=impersonate}!\Root\Cimv2")
      For Each objInstance1 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
          N1 = objInstance1.PercentProcessorTime
          D1 = objInstance1.TimeStamp_Sys100NS
           Exit For
       Next
        WScript.Sleep(20)

       For Each perf_instance2 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
           N2 = perf_instance2.PercentProcessorTime
           D2 = perf_instance2.TimeStamp_Sys100NS
           Exit For
       Next

       ' CounterType - PERF_100NSEC_TIMER_INV
       ' Formula - (1- ((N2 - N1) / (D2 - D1))) x 100
        Nd = (N2 - N1)
        Dd = (D2-D1)
         PercentProcessorTime = ( (Nd/Dd))  * 100
      CPUUSage = Round(PercentProcessorTime ,0)
End Function

 

' User Name을 불러오는 Function

Function UserList(aServer, aSession)

On Error Resume Next
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\Citrix")
Set colItems = objWMIService.ExecQuery( "SELECT * FROM MetaFrame_Process where ServerName = '" & aServer & "' and SessionID = '" & aSession & "' and ProcessName = '프로세스이름'")

For Each objItem in colItems  
    username = objItem.UserName
Next

    UserList = username

End Function

 

' 수행결과를 Event Log로 뿌리는 Function

Function Critical()

    Const EVENT_SUCCESS = 2
    Set objShell = Wscript.CreateObject("Wscript.Shell")
    objShell.LogEvent EVENT_SUCCESS, _
    "User : " & UserList(objProcess.CSName, objProcess.SessionID) & " 정상적으로 Logoff 하였습니다."
End Function

 

프로세스 Kill Script 와 연관되어 작성한 User Logoff Script이다. Xen APP서버를 서비스 하는 경우 User에 대한 정보를 일반적인 OS상에 존재하는 WMI 값에서 가져올 수 없다. Xen APP은 RDP Session으로 접근하는것이 라는 ICA Session 자체로 표시되기 때문에 User Name값을 가져올 경우에는 Citrix WMI값을 이용하여 Function화 하면 쉽게 User Name을 가져올 수 있다.

또 아래부분을 보면 Event Log로 전달하는 부분이 Function을 참고하셔도 활용할 수 있는 범위가 많을 것이라 생각된다.

신고
Posted by hotpoto

Application 가상화보다는 주로 Desktop 가상화에 초점이 맞춰저 있는것 같다는 느낌을 받는다. UC환경을 위한 서버 및 스토리지 가상화에 대한 기술을 주로 언급하고 있고, 이에 맞추어 블로그 포스팅을 해야 할것 같다는 느낌을 받는다.

 

이제 첫번째 시간으로 Windows Virtulization Architecture 부분에 대한 내용을 다루어 보겠다.

 

[Windows Virtualization Architecture]

 

image

 

이전 방식은 Paravirtulization, 즉 Guest OS와 Hypervisor(Virtulization Layer) 사이에 성능 및 효율성을 향상하기 위해서 별도로 통신할 수 있는 채널이 필요하게 되었다. 즉, Hypervisor내에 Hypercall을 내장하여, 메모리 관리, 인터럽트 핸들링등과 같은 OS/Kernel 동작을 제공한다 Paravirtulization 기술은 Guest OS를 최적화 해야 하는 단점이 있다.

 

이러한 맹점을 해결하기 위해서 H/W업체들은 가상화 OS 프로세스에서 Privilege 명령어 처리를 가능하게 해주는 CPU, 즉 Intel VT, AMD-V와 Direct로 통신할 수 있는 기능을 구현하게 되었다. binary  Translation이라고 하는 가상화 기술이며, Virtulization Layer가 OS에서 지원하는 것이 아닌 H/W에서 지원하는 구조로 되어 있기 때문에 Virtual Machine이 어느정도 Isolation으로 동작할 수 있는 모델을 제시하게 되었다. Windows 2008에서 제공하는 기술도 바로 이와 같은 형태의 Hypervisor의 형태로 서비스를 제공하게 된다.

 

여기까지 간단하게 Virtulization에 대해 알아보았다. 그럼 과연 어떠한 방식으로 Virtulization 방식으로 서로간의 통신을 시도하는 것일까?

 

image

 

Physical Device인 Disk를 예를 들면 Core영역에서 VSP라는 Virtual Storage Provider라는 가상화된 Module에서 처리를 받는다. VSP는 서버 Component로서 I/O 요청에 대한 처리를 담당하는 부분이다. 이는 Virtual Machine간에 정보교환을 담당하는 VMBus를 통해 입출력 요청을 처리하게 되는데 Guest OS가 실행되며, Application이 실제 동작하는 Child Partitiondml VSC에서 정보를 전달하게 된다 VSC는 Virtulization Service Consumer로서 Server Component가 아닌 Client Component로서 User Mode에서 받은 요청사항을 바로 VSP에 전달하게 되는 역활을 한다.

[참고] Hypervisor에 대한 Architecture

image

신고
Posted by hotpoto

먼저 Test Machine에 KB963027 를 설치 후 Test를 진행하신 후 전체 배포를 검토하여 주시기를 부탁 드립니다.

Test 진행 후 이상현상이 발생한다면 가능하다면 KB963027 의 배포를 일정기간 연기 후 코드의 수정이 필요합니다.

세부 대응책이 마련된 후 다시 공지하여 드리겠습니다.

 

KB 963027 / MS09-014

http://support.microsoft.com/kb/KB963027

http://www.microsoft.com/technet/security/bulletin/MS09-014.mspx

 

[보고된 증상]

mshtml.dll 에서 오류가 발생하고 Internet Explorer가 비정상 종료됨

 

[환경]

Internet Explorer 6 sp2 & Internet Explorer 7

 

[원인]

특정 ActiveX Control이 Unload될 때 이미 메모리에서 제거된 Object을 다시 Access하려고 시도하기 때문에 오류가 발생합니다.  MS09-014 이전에는 ActiveX가 Unload될 때 Object가 완전히 제거 되지 않고 남아 있었기 때문에 오류가 발생하지 않았습니다. MS09-014에서는 ActiveX가 Unload될 때 Object가 완전히 제거되도록 수정하였고 이로 인해 문제가 발생합니다.

 

[현상 발생 시 대처방법]

이 문제가 발생하지 않도록 하려면 해당 웹 사이트에서 소스 수정이 필요합니다. 일반 사용자께서는 임시로 MS09-014를 제거하고 사용하시기 바랍니다.

 

[사례]

보안업데이트 설치 전의 mshtml.dll 에서는 freed된 object 에 대해 제대로 처리하지 못하는 코드 상의 문제가 있어, 이러한 오류를 제대로 감지하지 못하여 비정상 종료 문제가 없었던 것입니다.

MS09-014 설치 전에는, object 가 freed(mshtml!CElement::~CElement) 되었음에도 불구하고  object 의 일부 content 가 null로 처리되지 않고 메모리에 남아 있어 이후 다시 이 부분을 double freed 하더라도 오류 없이 처리가 되었습니다만, 이로 인해 이미 freed되었음에도 불구하고 메모리에 남아있는 정보를 이용할 수 있는 보안상의 취약점을 안고 있었던 경우입니다.

MS09-014에서는 이러한 문제를 확인하고 보안 취약점을 없애기 위해 , object가 freed될 때 content 를 완전히 cleanup 하도록 코드 수정하였으며 그래서, 해당 컨트롤에서 이미 freed object를 다시 freed하려고 시도하면, double freed 로 인해 비정상 종료가 되게 됩니다.

이 문제를 해결키 위해서는, 해당 컨트롤에서 double freed하지 않도록 코드 수정이 필요합니다.

신고
Posted by hotpoto

출처 : 국가사이버안전센터

 

■ 개 요
MS社는 4월 15일 MS 윈도우 및 Office 등에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 8건(긴급 5, 중요 2, 보통 1)을 발표하였는 바, 각급기관은 해당 시스템에 대한 MS社의 보안 업데이트를 조속히 설치하시기 바랍니다.
* 특히 이번에는 지난해 12월 및 금년 2월에 공개되어 해킹에 악용중이던 MS 엑셀, 워드패드의 취약점에 대한 업데이트가 포함되어 있으므로 신속한 패치 적용을 권고합니다.
* 한편, 지난 4.3 공개된 MS 파워포인트의 취약점에 대한 업데이트는 포함되지 않음에 따라 "외부로부터 입수한 파워포인트 파일에 대해 작성자 확인후에 열람" 등 유의하여 주시기 바랍니다.
________________________________________

■ 보안 업데이트에 포함된 취약점 및 관련 사이트

1. MS 엑셀 취약점으로 인한 원격코드 실행 문제점(긴급, 968557)

o 설 명
MS 엑셀에서 엑셀 문서를 열람하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 엑셀 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.
o 관련 취약점
  - Memory Corruption Vulnerability(CVE-2009-0100)
  - Memory Corruption Vulnerability(CVE-2009-0238)

o 영향받는 소프트웨어
  - Microsoft Office 2000 SP3
  - Microsoft Office XP SP3
  - Microsoft Office 2003 SP3
  - 2007 Microsoft Office System SP1
  - Microsoft Office Excel Viewer
  - Microsoft Office Excel Viewer 2003 SP3
  - Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 File Formats SP1
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
o 영향받지 않는 소프트웨어
  - Microsoft Works 8.5, 9.0
  - Microsoft Works Suite 2005, 2006
  - OpenXML File Format Converter for Mac
  - Microsoft Office File Converter Pack
  - Microsoft Office SharePoint Server 2003 SP3
  - Microsoft Office SharePoint Server 2007, SP1 (32-bit editions)
  - Microsoft Office SharePoint Server 2007, SP1 (64-bit editions)
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-009.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-009.mspx
2. 워드패드 및 MS Office 텍스트 변환기 취약점으로 인한 원격코드 실행 문제점(긴급, 960477)

o 설 명
워드패드 및 MS Office에서 워드 파일 열람시 원격코드 실행 취약점이 존재하여 공격자는 조작된 워드 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.
o 관련 취약점
  - WordPad and Office Text Converter Memory Corruption Vulnerability(CVE-2009-0087)
  - WordPad Word 97 Text Converter Stack Overflow Vulnerability(CVE-2008-4841)
  - Word 2000 WordPerfect 6.x Converter Stack Overflow Vulnerability(CVE-2009-0088)
  - WordPad Word97 Text Converter Stack Overflow Vulnerability(CVE-2009-0235)

o 영향받는 소프트웨어
  - MMicrosoft Windows 2000 SP4
  - Microsoft Windows XP SP2, SP3
  - Microsoft Windows XP Professional x64 Edition, SP2
  - Microsoft Windows Server 2003 SP1, SP2
  - Microsoft Windows Server 2003 x64 Edition, SP2
  - Microsoft Windows Server 2003 with SP1, SP2 for Itanium-based Systems
  - Microsoft Office 2000 SP3
  - Microsoft Office XP SP3
  - Microsoft Office Converter Pack
o 영향받지 않는 소프트웨어
  - Microsoft Windows Vista, SP1
  - Microsoft Windows Vista x64 Edition, SP1
  - Microsoft Windows Server 2008 for 32-bit Systems
  - Microsoft Windows Server 2008 for x64-based Systems
  - Microsoft Windows Server 2008 for Itanium-based Systems
  - Microsoft Office Word 2003 SP3
  - Microsoft Office Word 2007 SP1
  - Microsoft Office Word Viewer
  - Microsoft Office Word Viewer 2003 SP3
  - Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 File Formats SP1
  - Microsoft Office 2004 for Mac
  - Microsoft Office 2008 for Mac
  - OpenXML File Format Converter for Mac
  - Microsoft Works 8.0, 8.5, 9.0
  - Microsoft Works Suite 2006
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-010.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-010.mspx
3. Microsoft DirectShow 취약점으로 인한 원격코드 실행 문제점(긴급, 961373)

o 설 명
MS DirectShow에서 MJPEG 파일 열람시 원격코드 실행 취약점이 존재하여 공격자는 조작된 MJPEG 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

* MJPEG(Motion JPEG) : 스틸 사진(JPEG 이미지)을 압축시켜 동영상을 만드는데 사용하는 포맷

o 관련 취약점
  - MJPEG Decompression Vulnerability(CVE-2009-0084)

o 영향받는 소프트웨어
  - DirectX 8.1, 9.0 on Windows 2000 SP4
  - DirectX 9.0 on Windows XP SP2, SP3
  - DirectX 9.0 on Windows XP Professional x64 Edition, SP2
  - DirectX 9.0 on Windows Server 2003 SP1, SP2
  - DirectX 9.0 on Windows Server 2003 x64 Edition, SP2
  - DirectX 9.0 on Windows Server 2003 SP1, SP2 for Itanium-based Systems
o 영향받지 않는 소프트웨어
  - Microsoft Windows Vista, SP1
  - Microsoft Windows Vista x64 Edition, SP1
  - Microsoft Windows Server 2008 for 32-bit Systems
  - Microsoft Windows Server 2008 for x64-based Systems
  - Microsoft Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-011.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-011.mspx
4. MS 윈도우 취약점으로 인한 권한 상승 문제점(중요, 959454)

o 설 명
MS 윈도우에서 네트워크 서비스 및 로컬 서비스 계정을 처리하는 과정에 권한 상승 취약점이 존재하여 공격자는 해당 취약점을 공격, 취약한 시스템에 대해 완전한 권한을 획득할 수 있다.

o 관련 취약점
  - Windows MSDTC Service Isolation Vulnerability(CVE-2008-1436)
  - Windows WMI Service Isolation Vulnerability(CVE-2009-0078)
  - Windows RPCSS Service Isolation Vulnerability(CVE-2009-0079)
  - Windows Thread Pool ACL Weakness Vulnerability(CVE-2009-0080)
o 영향받는 소프트웨어
  - Microsoft Windows 2000 SP4
  - Microsoft Windows XP SP2, SP3
  - Microsoft Windows XP Professional x64 Edition, SP2
  - Microsoft Windows Server 2003 SP1, SP2
  - Microsoft Windows Server 2003 x64 Edition, SP2
  - Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
  - Microsoft Windows Vista, SP1
  - Microsoft Windows Vista x64 Edition, SP1
  - Microsoft Windows Server 2008 for 32-bit Systems
  - Microsoft Windows Server 2008 for x64-based Systems
  - Microsoft Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-012.mspx
5. MS 윈도우 HTTP 서비스 취약점으로 인한 원격코드 실행 문제점(긴급, 960803)

o 설 명
MS 윈도우의 HTTP 서비스에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용한 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Windows HTTP Services Integer Underflow Vulnerability(CVE-2009-0086)
  - Windows HTTP Services Certificate Name Mismatch Vulnerability(CVE-2009-0089)
  - Windows HTTP Services Credential Reflection Vulnerability(CVE-2009-0550)

o 영향받는 소프트웨어
  - Microsoft Windows 2000 SP4
  - Microsoft Windows XP SP2, SP3
  - Microsoft Windows XP Professional x64 Edition, SP2
  - Microsoft Windows Server 2003 SP1, SP2
  - Microsoft Windows Server 2003 x64 Edition, SP2
  - Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
  - Microsoft Windows Vista, SP1
  - Microsoft Windows Vista x64 Edition, SP1
  - Microsoft Windows Server 2008 for 32-bit Systems
  - Microsoft Windows Server 2008 for x64-based Systems
  - Microsoft Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-013.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-013.mspx
6. Internet Explorer 누적 보안업데이트(긴급, 963027)

o 설 명
Internet Explorer에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용한 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

o 관련 취약점
  - Blended Threat Remote Code Execution Vulnerability(CVE-2008-2540)
  - WinINet Credential Reflection Vulnerability(CVE-2009-0550)
  - Page Transition Memory Corruption Vulnerability(CVE-2009-0551)
  - Uninitialized Memory Corruption Vulnerability(CVE-2009-0552)
  - Uninitialized Memory Corruption Vulnerability(CVE-2009-0553)
  - Uninitialized Memory Corruption Vulnerability(CVE-2009-0554)

o 영향받는 소프트웨어
  - Internet Explorer 5.01 SP4 for Microsoft Windows 2000 SP4
  - Internet Explorer 6.0 SP1 for Microsoft Windows 2000 SP4
  - Internet Explorer 6 for Microsoft Windows XP SP2, SP3
  - Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition, SP2
  - Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2
  - Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition, SP2
  - Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems
  - Internet Explorer 7 for Microsoft Windows XP SP2, SP3
  - Internet Explorer 7 for Microsoft Windows XP Professional x64 Edition, SP2
  - Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2
  - Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems
  - Internet Explorer 7 for Microsoft Windows Server 2003 x64 Edition, SP2
  - Internet Explorer 7 for Microsoft Windows Vista, SP1
  - Internet Explorer 7 for Microsoft Windows Vista x64 Edition, SP1
  - Internet Explorer 7 for Microsoft Windows Server 2008
  - Internet Explorer 7 for Microsoft Windows Server 2008 x64 Edition
  - Internet Explorer 7 for Microsoft Windows Server 2008 for Itanium-based Systems
o 영향받지 않는 소프트웨어
  - Internet Explorer 8 for Microsoft Windows XP SP2, SP3
  - Internet Explorer 8 for Microsoft Windows XP Professional x64 Edition, SP2
  - Internet Explorer 8 for Microsoft Windows Server 2003 SP1, SP2
  - Internet Explorer 8 for Microsoft Windows Server 2003 x64 Edition, SP2
  - Internet Explorer 8 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems
  - Internet Explorer 8 for Microsoft Windows Vista, SP1
  - Internet Explorer 8 for Microsoft Windows Vista x64 Edition, SP1
  - Internet Explorer 8 for Microsoft Windows Server 2008
  - Internet Explorer 8 for Microsoft Windows Server 2008 x64 Edition
  - Internet Explorer 8 for Microsoft Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-014.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-014.mspx
7. SearchPath의 혼합 보안위협 취약점으로 인한 권한 상승 문제점(보통, 959426)

o 설 명
MS 윈도우의 SearchPath 기능에 권한 상승 문제점이 존재하여 공격자는 특수하게 조작된 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약한 시스템에 접근할 수 있는 권한을 획득할 수 있다.

* SearchPath : 지정된 경로에서 특정 파일을 검색하는 기능을 제공하는 프로그래밍 인터페이스

o 관련 취약점
  - Blended Threat Elevation of Privilege Vulnerability(CVE-2008-2540)

o 영향받는 소프트웨어
  - Microsoft Windows 2000 SP4
  - Microsoft Windows XP SP2, SP3
  - Microsoft Windows XP Professional x64 Edition, SP2
  - Microsoft Windows Server 2003 SP1, SP2
  - Microsoft Windows Server 2003 x64 Edition, SP2
  - Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
  - Microsoft Windows Vista, SP1
  - Microsoft Windows Vista x64 Edition, SP1
  - Microsoft Windows Server 2008 for 32-bit Systems
  - Microsoft Windows Server 2008 for x64-based Systems
  - Microsoft Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-015.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-015.mspx
8. MS ISA 서버 및 Forefront Threat Management Gateway(Medium Business Edition)의 서비스 거부 취약점(중요, 961759)

o 설 명
MS ISA 및 Forefront Threat Management Gateway(Medium Business Edition)에 서비스 거부 취약점이 존재하여 공격자는 해당 취약점을 공격, 취약한 시스템의 기능을 마비시킬 수 있다.

* Forefront Threat Management Gateway : MS사의 통합위협관리 제품
* ISA(Internet Security and Acceleration Server) : 서버 기반의 MS 윈도우에 기업용 방화벽과 고성능 웹 캐시를 통합 제공하는 솔루션

o 관련 취약점
  - Web Proxy TCP State Limited Denial of Service Vulnerability(CVE-2009-0077)
  - Cross-Site Scripting Vulnerability(CVE-2009-0237)

o 영향받는 소프트웨어
  - Microsoft Forefront Threat Management Gateway, Medium Business Edition
  - Microsoft Internet Security and Acceleration Server 2004 Standard Edition SP3
  - Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition SP3
  - Microsoft Internet Security and Acceleration Server 2006
  - Microsoft Internet Security and Acceleration Server 2006 Supportability Update
  - Microsoft Internet Security and Acceleration Server 2006 SP1
o 영향받지 않는 소프트웨어
  - Microsoft Internet Security and Acceleration Server 2000 SP2
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-016.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-016.mspx

________________________________________

신고
Posted by hotpoto

Windows Server Initial Setup시 반드시 진행하는 설정중에 하나인, Windows 프로세서 & 메모리 사용계획을 Registry값을 이용해 수정하는 방법에 대해 알아보고자 한다.

 

[내컴퓨터 → 속성 → 고급 → Performance → Setting] 부분에서 해당 Option을 수정 가능

 

이후 Performance Option에서 "프로세서 사용계획" 및 "Memory Usage" 및 Virtual Memory 값을 대부분 Windows Setup

시설정하는데 이 값이 있는 Registry 값을 수정하여, 자동화 한다면 좋은 방법이라 생각이 된다.

 

 

[프로세서 사용계획, Processor scheduling]

어떠한 환경의 Service를 제공하느냐에 따라 Programs을 선택하기도 하고 Backgroupd Services를 선택하기도 한다.
대부분의 서버 환경은 Default로 Background Services로 설정하지만. Terminal 환경이나, Excel과 같은 사용자 Action이
많은 서비스의 경우에는 Program으로 설정하는것이 일반적이며, SQL Services등을 제공할때는 Background Services를
권고한다. 해당 Option을 조절하는 Registry 값의 위치는 다음과 같다.

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\PriorityControl\Win32PrioritySeparation]

Data 형식 : REG_DWORD

값 : Hexadecimal 26 (Program), Hexademical 18 (Background Serivces)

image

 

[Memory Usage]

메모리 사용계획도 Setting 환경에 따라 변할 수 있으며, 대표적으로 권고하는 파일서버의 경우에는 System Cache 사용을
권고하며, 해당 Registry 값에는 Paging File 위치또한 지정할 수 있다.

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\LargeSystemCache]

Data 형식 : REG_DWORD

값 : Hexadecimal 0 (Program), Hexademical 1 (System Cache)

 

image

신고
Posted by hotpoto

참조 : 국가사이버안전센터

 

■ 개 요
MS社는 3월 11일 MS 윈도우 및 DNS/Wins 서버에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 3건(긴급 1, 중요 2)을 발표하였는 바, 각급기관은 해당 시스템에 대한 MS社의 보안 업데이트를 조속히 설치하시기 바랍니다.
________________________________________

■ 보안 업데이트에 포함된 취약점 및 관련 사이트

1. 윈도우 커널 취약점으로 인한 원격코드 실행 문제점(긴급, 958690)

o 설 명
GDI 커널 컴포넌트에 원격코드 실행 취약점이 존재하여 공격자는 조작된 EMF, WMF 이미지 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

* GDI(Graphics Device Interface) : MS 윈도우에서 화면에 스크롤바, 선 등 모든 그래픽 객체들을 그리는 인터페이스
* WMF(Windows Meta File) : 벡터방식의 이미지 파일을 지원하기 위한 wmf 확장자를 가진 파일로 MS Office 등의 클립아트에 주로 이용
* EMF(Enhanced Metafile) : WMF의 32비트 확장형 파일 포맷

o 관련 취약점
    - Windows Kernel Input Validation Vulnerability(CVE-2009-0081)
    - Windows Kernel Handle Validation Vulnerability(CVE-2009-0082)
    - Windows Kernel Invalid Pointer Vulnerability(CVE-2009-0083)

o 영향받는 소프트웨어
    - Microsoft Windows 2000 SP4
    - Windows XP SP2, SP3
    - Windows XP Professional x64 Edition, SP2
    - Windows Server 2003 SP1, SP2
    - Windows Server 2003 x64 Edition, SP2
    - Windows Server 2003 with SP1, SP2 for Itanium-based Systems
    - Windows Vista, SP1
    - Windows Vista x64 Edition, SP1
    - Windows Server 2008 for 32-bit Systems
    - Windows Server 2008 for x64-based Systems
    - Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-006.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/Bulletin/MS09-006.mspx
2. SChannel 취약점으로 인한 스푸핑 문제점(중요, 960225)

o 설 명
SChannel 인증 컴포넌트가 공인인증서 기반의 인증을 수행하는 과정에 스푸핑이 가능한 취약점이 존재하여 공격자는 인가된 사용자의 공인인증서를 이용, 비밀키 없이 인증을 우회할 수 있다.

* SChannel(Secure Channel) : MS 윈도우에서 메시지 무결성 및 기밀성을 위해 사용되는 보안프로토콜로서 인터넷 브라우저와 서버에서 사용
* 스푸핑(Spoofing) : 자기 자신의 식별 정보를 속여 대상 시스템을 공격하는 수법

o 관련 취약점
    - SChannel Spoofing Vulnerability(CVE-2009-0085)

o 영향받는 소프트웨어
    - Microsoft Windows 2000 SP4
    - Windows XP SP2, SP3
    - Windows XP Professional x64 Edition, SP2
    - Windows Server 2003 SP1, SP2
    - Windows Server 2003 x64 Edition, SP2
    - Windows Server 2003 with SP1, SP2 for Itanium-based Systems
    - Windows Vista, SP1
    - Windows Vista x64 Edition, SP1
    - Windows Server 2008 for 32-bit Systems
    - Windows Server 2008 for x64-based Systems
    - Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-007.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-007.mspx
3. DNS와 WINS 서버 취약점으로 인한 스푸핑 문제점(중요, 962238)

o 설 명
MS 윈도우 DNS와 WINS 서버에서 스푸핑이 가능한 취약점이 존재하여 공격자는 DNS 서버에 조작된 쿼리를 보내거나 WINS 서버에 man-in-the-middle-attack을 하여 인터넷 트래픽의 경로를 원하는 곳으로 변경할 수 있다.

* WINS(Windows Internet Name Service) 서버 : TCP/IP환경에서 NetBIOS 이름(컴퓨터 이름)을 IP 주소와 서로 연결시켜주는 역할을 하는 서버
* man-in-the-middle-attack(중간자 공격) : 두 당사자간의 통신 메세지를 공격자가 중간에서 마음대로 가로챌 수 있는 공격

o 관련 취약점
    - DNS Server Query Validation Vulnerability(CVE-2009-0233)
    - DNS Server Response Validation Vulnerability(CVE-2009-0234)
    - DNS Server Vulnerability in WPAD Registration Vulnerability(CVE-2009-0093)
    - WPAD WINS Server Registration Vulnerability(CVE-2009-0094)

o 영향받는 소프트웨어
    - DNS/WINS Server on Microsoft Windows 2000 SP4
    - DNS/WINS Server on Microsoft Windows Server 2003 SP1, SP2
    - DNS/WINS Server on Microsoft Windows Server 2003 x64 Edition, SP2
    - DNS/WINS Server on Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
    - DNS Server on Windows Server 2008 for 32-bit Systems
    - DNS Server on Windows Server 2008 for x64-based Systems
o 영향받지 않는 소프트웨어
    - Windows 2000 Professional SP4
    - Windows XP SP2, SP3
    - Windows XP Professional x64 Edition, SP2
    - Microsoft Windows Vista, SP1
    - Microsoft Windows Vista x64 Edition, SP1
    - Microsoft Windows Server 2008 for Itanium-based Systems
o 관련사이트
→ 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-008.mspx
→ 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-008.mspx

________________________________________

신고
Posted by hotpoto

Hyper-V에 대한 내용은 이미 많은 공유가 있었던 것으로 알고 있다. 또, 이와 연관된 내용을은 백승주님의 블로그를 가면 자세한 내용을 확인할 수 있을 것이다. 이제 이러한 기술들이 단순히 테스 뿐만이 아닌 실제 서버 운영업무에 이용되고 있다는 느낌을 받는다. 클라우드 컴퓨팅 기반의 가장 핵심적인 기술,,, 바로 Virtualization!!! UC환경 도입을 위한 필수적으로 선택해야 하는 항목이 아닌가 생각이 된다

 

아래 Link에 Download 경로를 이용해 많은 지식을 쌓는 계기가 되시길....

 

Windows 2008 R2 평가판 Download, Microsoft Hyper-V Server 2008

신고
Posted by hotpoto

티스토리 툴바