[window/윈도우 서버] IIS 미사용 스크립트 매핑 제거
- 정보보안/Windows 서버
- 2022. 8. 15.
W-21 IIS 미사용 스크립트 매핑 제거
■ 점검영역 : 서비스 관리
■ 항목 중요도 : 상
■ 점검내용
IIS 미사용 스크립트 매핑 제거 여부 점검
■ 점검목적
사용하지 않은 확장자 매핑을 제거하여 추가 공격의 위험을 제거하기 위함
■ 보안위협
미사용 확장자 매핑을 제거하지 않은 .htr .idc .stm .shtm .shtml .printer .htw .ida .idq 확장자는 버퍼 오버플로우(Buffer Overflow) 공격 위험이 존재함
■ 참고
※ 사용하지 않는 스크립트 매핑은 보안에 위협이 될 수 있으므로 개발자와 협의하여 불필요한 매핑인지 확인한 후 제거해야 함
※ .asp나 .shtm 과 같은 확장자들은 특정 DLL 파일과 매핑 되어 있어, 이러한 파일들에 대한 요청이 들어오면 해당 DLL에 의해 처리됨
※ 스크립트 매핑: IIS는 클라이언트가 요청한 자원의 파일 확장자에 따라서 이를 처리할 ISAPI 확장 핸들러를 지정하게 되어 있는데 이를 스크립트 매핑이라고 함
※ 버퍼 오버플로우(Buffer Overflow): 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작, 궁극적으로 해커가 원하는 코드를 실행하는 것
점검대상 및 판단기준(윈도우 서버, window)
■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019
양호
취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)이 존재하지 않는 경우
취약
취약한 매핑(.htr .idc .stm .shtm .shtml .printer .htw .ida .idq)이 존재하는 경우
※ 조치 시 마스터 속성과 모든 사이트에 적용함
■ 조치방법
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 취약한 매핑 제거 (아래 표 참고)
점검 및 조치 방법
■ Windows 2000(IIS 5.0), 2003(IIS 6.0)
Step 1) 시작> 실행> INETMGR> 웹 사이트> 해당 웹 사이트> 속성> [홈 디렉토리] 탭에서 [구성] 버튼 선택
Step 2) [매핑] 탭에서 아래와 같은 취약한 매핑 제거
확장자명 | 기능 | 취약점 |
asp | Active Server Pages 기능 지원 | Buffer Overflow MS02-018 • Win 2000 SP3 이상 양호 |
htr | Web-based password reset: Outlook Web Access 등에서 웹 기반 응용 프로그램으로 자신의 사용자 계정 암호 변경 |
+.htr 소스 공개 취약점 MS01-004 • Win 2000 SP3, NT SP 7.0 이상 양호 |
idc | Internet Database Connector: SQL 서버에 연결하기 위한 정보 등을 관리함. asp를 통해 같은 작업을 수행 가능 |
Web 디렉토리 패스 공개 Q193689 • NT4.0, NT SP6a이상 양호 |
stm, stml, shtml |
Server-Side Includes | Buffer Overflow MS01-044 • Win 2000 SP3 이상 양호 |
printer | Internet Printing : URL을 사용하여 페이지를 프린터로 인쇄할 수 있도록 함 IIS가 인터넷이나 인트라넷을 통해 인쇄 서버 기능 수행 |
Buffer Overflow MS01-023 • Win 2000 SP2 이상 양호 |
ida, idq | Index Server : idq.dll에 매핑되며 인덱스 서버를 쿼리할 때 사용 |
Buffer Overflow MS01-033 • Win 2000 SP3 이상 양호 |
htw | Index Server : webhits.dll에 매핑되며, 인덱스 서버를 쿼리할 때 사용 |
Webhit 소스 공개 취약점 MS00-006 • Win 2000 SP1 이상 양호 |
■ Windows 2008(IIS 7.0), 2012(IIS 8.0), 2016(IIS 10.0), 2019(IIS 10.0)
Step 1) 시작> 실행> INETMGR> 웹 사이트> 해당 웹 사이트> 처리기 매핑 선택
Step 2) 취약한 매핑 제거(.htr, .idc, .stm, .shtm, .shtml, .printer, .htw, .ida, .idq)
■ 조치 시 영향 : 일반적인 경우 영향 없음