주요정보통신기반시설 윈도우 서버 W-23 IIS WebDAV 비활성화

■ 개념

주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 윈도우 서버의 W-23 IIS WebDAV 비활성화 점검항목에 대해 알아보겠습니다. 해당 포스팅은 윈도우 서버(Windows Server 2012 R2)를 기준으로 진단 및 실습합니다.

 

항목명		IIS WebDAV 비활성화
항목코드		W-23
위험도		상
점검내용		IIS WebDAV 비활성화 여부 점검
점검목적		WebDAV 서비스를 비활성화 하여, IIS WebDAV에서 발견되는 다수의 인증 우회 취약점을 제거하고자 함
보안위협		WebDAV가 활성화 되어 있는 경우 IIS에 악의적으로 작성된 HTTP 요청을 이용하여 인증을 우회함으로써 패스워드로 보호된 WebDAV의 자원에 접근 (디렉토리 열람, 파일 다운로드 등)이 가능 WebDAV에 의해 호출된 일부 구성 요소에 매개 변수를 정확하게 점검하지 않는 결함이 존재하여, 이로 인해 버퍼 오버런이 발생 가능 ※ WebDAV(Web Distributed Authoring and Versioning): 사용자가 원격 World Wide Web 서버를 이용하여 파일을 수정하거나 처리할 수 있도록 하는 HTTP의 확장 서비스. 웹상의 공동개발을 지원하기 위한 IETF 표준안(RFC 2518)으로써, 원격지 사용자들 간에 인터넷상에서 파일을 공동 편집하고 관리할 수 있도록 함

 

판단기준	양호	다음 중 한 가지라도 해당하는 경우 1. IIS 서비스를 사용하지 않는 경우 2. DisableWebDAV 값이 1로 설정되어 있는 경우 3. Windows NT, 2000은 서비스팩 4 이상이 설치되어 있는 경우 4. Windows 2003 이상은 WebDAV가 금지 되어 있는 경우
	취약	양호 기준에 한 가지라도 해당하지 않는 경우(2003, 2008은 1,4번만)
조치방법		IIS 서비스를 사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 해당 레지스트리 값을 1로 설정함 (Windows NT, 2000 서비스팩 4 이상 양호, Windows 2003 이상 WebDAV금지 시 양호)

 

■ 실습

해당 점검항목은 윈도우 서버의 IIS WebDAV 비활성화 여부를 확인하여 양호/취약을 판단합니다. IIS WebDAV는 인터넷상에서 원격지 사용자들 간에  파일을 공동 편집 및 관리할 수 있도록 하는 HTTP 확장 서비스로 활성화 시 보안에 취약합니다. 그렇기 때문에 위 표 양호 판단기준에 따라 조치해야 합니다. 아래 메뉴를 통해 확인하시기 바랍니다.

1. 인터넷 정보 서비스(IIS) 관리자> 서버 선택> IIS> "ISAPI 및 CGI 제한" 선택, WebDAV 사용여부 확인 (허용됨일 경우 취약)
2. 인터넷 정보 서비스(IIS) 관리자> 서버 선택> IIS> "ISAPI 및 CGI 제한" 선택 WebDAV 항목 선택> [작업]에서 제거하거나, 편집> "확장 경로 실행 허용(A)" 체크 해제

IIS WebDAV 허용되지 않음 설정 및 확장 경로 실행 허용 체크 해제

• 진단 스크립트 결과

양호일 경우(IIS WebDAV 허용되지 않음)일 때	취약일 경우(IIS WebDAV 허용함)일 때
<isapiCgiRestriction>     <add path="%windir%\system32\inetsrv\webdav.dll"      allowed="false" description="WebDAV" /> </isapiCgiRestriction>	<isapiCgiRestriction> </isapiCgiRestriction>

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

수고하셨습니다.

궁금한 사항은 댓글로 남겨주세요.