Microsoft 보안 권고 2743314

캡슐화되지 않은 MS-CHAP v2 인증은 정보 유출을 유발할 수 있습니다.

게시된 날짜: 2012년 8월 21일 화요일

버전: 1.0

일반 정보

요약

Microsoft는 MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol version 2)의 알려진 약점에 대한 상세한 악용 코드가 공개되었음을 확인했습니다. MS-CHAP v2는 지점 간 프로토콜(PPTP) 기반 VPN 인증 방법으로 널리 사용되는 프로토콜입니다. Microsoft는 현재까지 이 악용 코드를 사용한 실제 공격이나 고객에 대한 영향을 발견하지 못했습니다. Microsoft는 고객에게 정확한 정보와 필요한 지침을 제공하기 위하여 상황을 면밀하게 모니터링하고 있습니다.

완화요소:

  • MS-CHAP v2와 함께 사용하는 PPTP를 유일한 인증 방법으로 의존하는 VPN 솔루션만이 이 문제점에 취약합니다.

권장사항. 자세한 내용은 권고의 권장조치 항목을 참조하십시오.

권고 세부 정보

문제점 참고 자료

이 문제점에 대한 자세한 내용은 다음 참고 자료를 참조하십시오.

참고 자료 번호
Microsoft 기술자료문서 2744850(영문)

자주 제기되는 질문 사항(FAQ)

이권고의범위는무엇입니까?   이 권고의 목적은 MS-CHAP v2 프로토콜의 알려진 약점에 대한 상세한 악용 코드가 공개되었음을 고객에게 알리기 위함입니다. Microsoft는 현재까지 이 악용 코드를 사용한 실제 공격이나 고객에 대한 영향을 발견하지 못했습니다. Microsoft는 고객에게 정확한 정보와 필요한 지침을 제공하기 위하여 상황을 면밀하게 모니터링하고 있습니다.

이문제점의원인은무엇입니까?   이 문제점은 MS-CHAP v2 프로토콜의 알려진 암호화 약점에 의해 발생합니다.

공격자는이약점을악용하여무엇을할수있습니까?   암호화 약점 악용에 성공한 공격자는 사용자 자격 증명을 얻을 수 있습니다. 공격자는 이 자격 증명을 재사용하여 네트워크 리소스에 인증하고, 해당 네트워크 리소스에서 사용자가 취할 수 있는 모든 작업을 할 수 있습니다.

공격자는이러한약점을어떻게악용합니까?   공격자가 이 약점을 악용하려면 MITM(Man-in-the-Middle) 공격을 하거나 개방형 무선 트래픽을 가로채 대상 사용자의 MS-CHAP v2 핸드셰이크를 가로챌 수 있어야 합니다. MS-CHAP v2 인증 트래픽을 얻은 공격자는 악용 코드를 사용하여 사용자 자격 증명을 해독할 수 있습니다.

이문제점은 Microsoft에서보안업데이트를배포해야하는보안취약점입니까?   아니요, 이 문제점은 Microsoft에서 보안 업데이트를 배포해야 하는 보안 취약점이 아닙니다. 이 문제점은 MS-CHAP v2 프로토콜의 알려진 암호화 약점에 의해 발생하며 구성 변경을 실행하면 해결됩니다. PEAP를 사용하여 MS-CHAP v2/PPTP 기반 터널의 보안을 강화하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2744850을 참조하십시오.

MS-CHAP v2란무엇입니까?
MS-CHAP v2는 챌린지 핸드셰이크 상호 인증 프로토콜입니다. 사용자가 서비스에 인증할 때, 원격 액세스 서버가 클라이언트에게 보내 암호를 증명할 것을 요청합니다. 그리고 클라이언트도 서버에 챌린지를 전송하여 암호를 증명할 것을 요청합니다. 서버가 클라이언트의 챌린지를 제대로 받아서 사용자 암호를 알고 있음을 증명할 수 없으면 클라이언트가 연결을 종료합니다. 원격 액세스 클라이언트는 상호 인증 없이 가장된 서버 연결을 감지할 수 없습니다.

IMS-CHAP v1도영향을받습니까?   MS-CHAP v1은 사용되지 않습니다. 자세한 내용은 Microsoft 기술 자료 문서 926170을 참조하십시오.

MITM(Man-in-the-Middle) 공격이란무엇입니까?   MITM(Man-in-the-Middle) 공격은 두 통신 사용자가 알지 못하게 공격자가 공격자의 컴퓨터를 통해 두 사용자 사이의 통신을 다시 라우팅할 때 발생합니다. 이러한 통신에서 각 사용자는 의도한 상대방과만 통신 중이라고 생각하면서 자신도 모르게 공격자와 트래픽을 주고 받게 됩니다.

권장 조치

PEAP을사용한 MS-CHAP v2/PPTP 기반터널보호

PEAP를 사용하여 MS-CHAP v2/PPTP 기반 터널의 보안을 강화하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2744850(영문)을 참조하십시오.

또는 Microsoft VPN용 PEAP-MS-CHAP v2 인증을구현하는대신, 보다안전한 VPN 터널을사용하십시오.

사용된 터널 기술(영문)이 유연하다면, 암호 기반 인증 방법이 여전히 필요하며, Microsoft는 MS-CHAP v2 또는 EAP-MS-CHAP v2와 함께 L2TP, IKEv2 또는 SSTP VPN 터널을 사용하여 인증할 것을 권장합니다.

자세한 정보는 아래 링크를 참조하십시오.

참고 고객은 자신의 환경 구성 변경으로 인한 영향을 평가하는 것이 좋습니다. Microsoft VPN용 PEAP-MS-CHAP v2 인증을 구현하는 것은 인증을 위해 MS-CHAP v2 또는 EAP-MS-CHAP v2과 함께 L2TP, IKEv2 또는 SSTP VPN 터널 등의 보안이 강화된 VPN 터널을 구현하는 것보다 구성 변경 사항이 적을 수 있으며, 시스템에 대한 영향이 적을 수 있습니다.

추가 권장 조치

  • PC 보호

    Microsoft에서 제공하는 컴퓨터 보호 지침을 따라 방화벽을 사용하고 소프트웨어를 업데이트하고 안티바이러스 소프트웨어를 설치할 것을 권장합니다. 자세한 내용은 Microsoft 안전 및 보안 센터를 참조하십시오.

  • Microsoft 소프트웨어업데이트상태유지

    Microsoft 소프트웨어 사용자는 최신 Microsoft 보안 업데이트를 적용하여 보호 수준을 최신 상태로 유지해야 합니다. 소프트웨어가 최신 상태인지 잘 모르는 경우 Microsoft Update를 방문하여 컴퓨터에 사용 가능한 업데이트가 있는지 검색하고, 제공되는 중요 업데이트를 모두 설치합니다. 자동 업데이트를 사용하고 Microsoft 제품에 업데이트를 제공하도록 구성한 경우 업데이트가 출시됨과 동시에 사용자에게 전달되지만, 설치가 되었는지 확인해야 합니다.

기타 정보

사용자 의견

지원

  • 기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터(영문)에서 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
  • 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 자세한 내용은 국가별 지원 웹 사이트를 참조하십시오.
  • Microsoft TechNet Security는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성 및 특정 목적에의 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 어떤 보증도 하지 않습니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

개정 내역

  • V1.0(2012년 8월 21일): 권고가 게시되었습니다.

Built at 2014-04-18T13:49:36Z-07:00