2024-03-29 21:00 (금)
MS, 20년된 로그인취약점 패치하지 않기로 결정
상태바
MS, 20년된 로그인취약점 패치하지 않기로 결정
  • 길민권
  • 승인 2016.08.06 13:27
이 기사를 공유합니다

사용자 이름과 패스워드 훔쳐낼 수 있는 취약점

MS 윈도우 운영시스템(OS)에는 공격자가 사용자로 하여금 악성 웹사이트를 방문하게 함으로써 사용자 이름과 패스워드를 훔쳐낼 수 있는 취약점이 과거부터 존재해왔다. 또한 발표된 새로운 익스플로잇에 대한 증명은 얼마나 그것을 이용해 사용자의 정보를 훔쳐오기가 쉬운지 보여준다.
 
이 취약점은 널리 알려진, 약 20년 정도된 취약점이다. 1997년 Aaron Spangler에 의해 발견되었고 최근 2015년 보안연구자들에 의해 2015년 블랙햇에서 다시 중요 보안이슈로 언급됐다. 이 취약점이 다시 주목받게된 것은 윈도우8부터 사용자가 마이크로소프트 계정으로 xbox, Outlook, Office, Skype등에 로그인하게 되면서부터다. 즉 단순한 PC의 문제에서 이제는 마이크로소프트 계정에 대한 문제로 범위가 커졌기 때문이다.
 
이 취약점은 인터넷 익스플로러나 에지 브라우저를 사용하는 사용자가 로컬 네트워크 공유에 접속할 때 외부 공유에 대해서 완벽하게 막지 않아서 발생한다. 이것을 익스플로잇하기 위해 공격자는 공격자의 네트워크 공유를 연결시키는 특별히 제작된 웹페이지에 사용자가 해당 브라우저들을 통해 접속하도록 만든다. 해당 브라우저들은 사용자이름과 해쉬화된 패스워드를 네트워크 공유를 통해 보낼 것이다. 패스워드는 NTML로 해쉬화되어 있는데, NTML해쉬는 크랙이 가능한 것으로 알려져 있다.
 
VPN제공사인 Perfect Privay는 블로그 포스트를 통해 VPN연결 역시 영향을 받는다고 설명했다. 만약 사용자가 VPN에 연결되어 있다면 그 동안 사이트에 그들의 정보가 유출될 수 있고, 잠재적으로 사용자의 익명성에 영향을 미칠 수 있다고 전했다.
 
연구팀은 사용자 이름, 도메인, 해쉬 패스워드를 되돌려주는 익스플로잇 증명 페이지를 만들었다. 특히 만약 쉽게 추측 가능한 패스워드라면 크랙하는데 얼마 걸리지 않을 것이다. 연구팀이 제시한 보호기법은 단순하다. 그것은 인터넷 익스플로러, 에지 브라우저, 마이크로소프트 아웃룩 등을 사용하지 말고 마이크로소프트 계정으로 윈도우를 로그인하지 않는 것이다. 크롬과 파이어폭스는 이 취약점에 영향을 받지 않는다.
 
한편 마이크로소프트 대변인은 이 취약점을 패치하지 않을 것이라고 말했다. "우리는 2015년 논문에서 설명되기 전에 이미 이 정보수집 기술을 알고 있었다. 마이크로소프트는 만약 필요하다면 사용자를 보호하기 위한 가이드를 제공할 것"라고 설명했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 외신기자>

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★