Server 서비스가 소리 소문 없이 죽어 있었던 경험이 있으신가요? Windows Server 2003 SP1 환경에서 보안 업데이트가 설치되어 있지 않은 머신에서 이런 사례를 겪었습니다만 취약점에 대한 침입 흔적은 찾을 수 없었습니다.
[환경]
Windows Server 2003 SP1
[현상]
현상1. 네트워크 공유 폴더 기능을 사용할 수 없습니다.
컴퓨터 관리 - 시스템 도구 - 공유 폴더 - 공유 메뉴를 선택하였을 때 아래와 같은 오류가 발생합니다.
Windows 클라이언트의 공유 목록을 읽는 동안 다음 오류가 발생했습니다:
오류 2114: 서버 서비스가 시작되지 않았습니다.
현상 2. Server Service 를 시작할 경우 아래와 같은 오류가 발생합니다.
로컬 컴퓨터에서 Server 서비스를 시작하지 못했습니다.
오류 5: 액세스가 거부되었습니다.
[원인]
문제가 발생한 시점에 어떤 요인이 있었는지 파악하는데 어려움이 있습니다. 다만 Server 서비스가 Crash 될 수 있는 경우에 대해서 참고자료에 링크된 KB 문서에서 볼 수 있듯이 대표적으로 아래 사례가 보고 되어 있습니다.
1. 가용 메모리 부족에 의한 동적 연결 라이브러리(*.dll)의 전용 힙(Heap)에서 메모리가 손상
2. Browser list 처리 시 발생할 수 있는 overflow 에 의한 Heap 손상 - Browser.dll
3. Microsoft SMB(Server Message Block) 취약점에 대한 외부 공격에 의한 Crash
[WORKAROUND]
Service Host, SMB 와 관련된 알려진 보안 이슈들이 꽤 많습니다. 최신 업데이트를 적용하는 방법이 문제 해결에 가장 효과적인 방법인 듯 합니다. ^^; 오옷! 참 쉽...습니다..
[분석결과]
1.. 이벤트 로그 (시스템)
가. 서비스가 종료된 시점이 이벤트 원본 "Service Control Manager" 에는 기록되지 않았고 "Operations Manager" 에서 종료 시점 확인
Service Wireless Configuration has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service 자동 업데이트 has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Distributed Link Tracking Client has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Shell Hardware Detection has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Secondary Logon has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Remote Access Connection Manager has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service NLA(Network Location Awareness) has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Network Connections has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Workstation has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Server has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service HID Input Service has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Logical Disk Manager has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Cryptographic Services has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Computer Browser has gone from RUNNING to STOPPED in the last 10.0027 minutes.
Service Application Management has gone from RUNNING to STOPPED in the last 10.0027 minutes.
나. 서비스 종료 후 일부 서비스는 자동 복구되며 이벤트 원본 "Service Control Manager" 기록
Remote Access Connection Manager 서비스가 실행 상태로 들어갔습니다.
Network Connections 서비스가 실행 상태로 들어갔습니다.
NLA(Network Location Awareness) 서비스가 실행 상태로 들어갔습니다.
Shell Hardware Detection 서비스가 실행 상태로 들어갔습니다.
자동 업데이트 서비스가 실행 상태로 들어갔습니다.
2. 응용 프로그램 로그, 보안 로그를 통해 서비스 Crash 또는 보안 로그인 실패 감사 확인되지 않음
3. 백신 소프트웨어를 사용한 바이러스 감염 여부 확인되지 않음
4. 보안 업데이트 기록 : SP1 설치 이후 보안 업데이트가 진행되지 않음
[참고자료]
MS08-067: Vulnerability in Server service could allow remote code execution
http://support.microsoft.com/kb/958644/en-us
The Service Host process may stop unexpectedly in Windows Server 2003
http://support.microsoft.com/kb/932762/en-us
The Svchost.exe process may end unexpectedly on a Windows Server 2003-based computer
http://support.microsoft.com/kb/910666/en-us
SMB의 취약점으로 인한 원격 코드 실행 문제점 (958687)
http://www.microsoft.com/korea/technet/security/bulletin/MS09-001.mspx
작성자 : Lai Go / 작성일자 : 2010.01.26
