마이크로소프트 보안 권고 2743314 발표
마이크로소프트는 2012년 8월 21일(한국시각)에 보안 권고 2743314 를 발표하였습니다.
보안 권고 2743314 - Unencapsulated MS-CHAP v2 Authentication Could Allow Information Disclosure
[요약]
마이크로소프트는 MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol version 2) 프로토콜의 암호화 취약점을 이용해 실행할 수 있는 상세한 악용 코드가 공개되었음을 확인했습니다. MS-CHAP v2 프로토콜은 PPTP(Point-to-Point Tunneling Protocol) 기반 VPN 에 일반적으로 사용되는 인증 방법입니다.
마이크로소프트는 현재까지 이 악용 코드를 사용한 실제 공격이나 고객에 대한 영향을 발견하지 못했습니다. 마이크로소프트는 고객에게 정확한 정보와 필요한 지침을 제공하기 위하여 상황을 면밀하게 모니터링하고 있습니다.
[취약점 정보]
MS-CHAP v2 프로토콜의 암호화 취약점을 성공적으로 악용한 공격자는 사용자 자격 증명을 획득할 수 있습니다. 공격자는 획득한 자격증명을 재사용하여 네트워크 리소스에 접근하는 등 모든 작업을 실행할 수 있습니다.
[권장 방법]
PPTP 기반 VPN 의 인증 방법에 오직 MS-CHAP v2 만을 사용한다면 이 취약점에 영향을 받습니다.
마이크로소프트는 PPTP 기반 VPN 인증에 PEAP-MS-CHAP v2 인증 방법을 구성하여 사용하시기를 권장합니다 .
자세한 구성 방법 및 FAQ 에 대한 정보는 아래의 문서를 확인해 주십시오.
- Microsoft Security Advisory 2743314 – Unencapsulated MS-CHAP v2 Could Allow Information Disclosure
https://technet.microsoft.com/security/advisory/2743314 - Implementing PEAP-MS-CHAP v2 authentication for Microsoft PPTP VPNs
https://support.microsoft.com/kb/2744850
[추가 정보]
- Microsoft Security Advisory 2743314 – Unencapsulated MS-CHAP v2 Could Allow Information Disclosure - https://technet.microsoft.com/security/advisory/2743314
- Microsoft Security Response Center (MSRC) Blog: https://blogs.technet.com/msrc
- Microsoft Malware Protection Center(MMPC) Blog: https://blogs.technet.com/mmpc
- Security Research & Defense(SRD) Blog: https://blogs.technet.com/srd
[정보의 일관성]
본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다. 웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다. 이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불 일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.
기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다.
보안 업데이트와 관련된 기술 지원 통화는 무료입니다.
감사합니다.
한국마이크로소프트 고객지원부