1) WinRM 사용 시 이슈가 없을지 여부
○ WinRM 관련된 취약점 관련 히스토리
ü WinRM에 대해 Exploit-DB 사이트에 등록된 최신 취약점 날짜는 2012년 11월이며, 1건 존재합니다.
이에 반해 SSH는 17년도에 발견된 취약점이
존재하며, exploit-DB 사이트에 20건 이상 존재합니다.
ü 중국 해킹 그룹 3390에서 실제로 WinRM 프로토콜에 대한 취약점을 이용하여 공격을 진행한 사례가 있습니다.
관련 URL: http:/attack.mitre.org/wiki/Group/G0027
ü WinRM 프로토콜 관련 공격 툴로는 Colbalt Strike, Metasploit 등의 도구가 있습니다.( 해당 도구에는 2012년 공개된 취약점이 포함되어 있습니다. )
ü WinRM은 HTTP.sys를 사용하는 SOAP (WCF)를 사용하므로 관련 공격을
받을 수 있습니다.
2015년도에 HTTP.sys에 대한 DOS와 Remote Code Execution 취약점이 발표되었으며, 현재는
패치된 상황입니다. (MS15-034)
2) WinRM을 어떻게 사용해야 할지 (보안성 향상 방안)
ü HTTPS 연결 설정 ( HTTPS 연결을 위해서는 각 호스트 별 인증서 설치 필요)
ü Default Port 변경 5985(HTTP),5986(HTTPS) à xxxx , xxxx
ü WinRM 이벤트에 대한 로깅 및 감독 (도메인 레벨의 그룹으로 이벤트 로그 이용)
ü IP 접근 관리 (서버 방화벽 사용- WinRM 서비스에 대해 별도의 방화벽 룰을 생성)
'IT기술 관련 > 윈도우' 카테고리의 다른 글
| Winrm 로그 포워딩 방법 (0) | 2017.09.26 |
|---|---|
| NFS,CIFS 차이점 (2) | 2017.09.20 |
| Winrm 보안설정 관련 자료 (0) | 2017.09.11 |
| WINRM - Windows Remote Management-<WinRM, WinRS) (0) | 2017.09.11 |
| WMI 란 (0) | 2017.09.11 |