2021-10-25 12:30 (월)
MS 애저 클라우드 관리 솔루션 제로데이 보안취약점…주의
상태바
MS 애저 클라우드 관리 솔루션 제로데이 보안취약점…주의
  • 길민권 기자
  • 승인 2021.10.04 16:21
이 기사를 공유합니다

악의적 해커가 무차별 대입 공격에 악용할 수 있는 마이크로소프트 애저 액티브 디렉토리(Microsoft Azure Active Directory)에서 사용하는 프로토콜의 패치되지 않은 보안 취약점이 공개됐다.

시큐어웍스 CTU(Counter Threat Unit)의 연구원들은 발표된 보고서에서 "이 결함은 위협 행위자가 표적 조직의 테넌트에서 로그인 이벤트를 생성하지 않고 Azure Active Directory(Azure AD)에 대해 단일 요소 무차별 대입 공격을 수행할 수 있도록 한다"고 설명했다.

애저 액티브 디렉토리는 SSO(Single Sign-On) 및 다단계 인증을 위해 설계된 마이크로소프트 엔터프라이즈 클라우드 기반 ID 및 액세스 관리(IAM) 솔루션이다.

이 취약점은 직원들이 암호를 입력하지 않고도 기업 네트워크에 연결된 기업 장치를 사용할 때 자동으로 서명할 수 있는 심리스 싱글 사인온(Single Sign-On) 기능에 있다.

더해커뉴스 보도에 따르면, 시큐어웍스는 지난 6월 29일 마이크로소프트에 이 문제를 알렸지만 마이크로소프트는 7월 21일의 행동을 ‘의도적’이라고 간주하고 있다고 전했다.

★정보보안 대표 미디어 데일리시큐!★