연구원들은 Microsoft Azure의 다단계 인증(MFA) 시스템에서 1시간 이내에 사용자 계정에 대한 무단 액세스를 허용하는 심각한 취약점을 식별했습니다. Oasis Security가 발견한 이 결함으로 인해 4억 개 이상의 Microsoft 365 계정이 계정 탈취 가능성에 노출되었으며 위험은 Outlook, OneDrive, Teams 및 Azure Cloud 서비스까지 확장되었습니다. 이 취약점은 실패한 MFA 시도에 대한 속도 제한 부족으로 인해 발생했으며, 이로 인해 공격자가 사용자에게 경고하지 않고 시스템을 악용할 수 있었습니다.
Microsoft Azure MFA의 심각한 취약점으로 인해 4억 개의 계정이 노출되었습니다.
“AuthQuake”라고 불리는 확인된 우회 방법을 통해 연구원들은 코드를 열거하면서 새로운 세션을 빠르게 생성할 수 있었습니다. Oasis의 연구 엔지니어인 Tal Hason은 이 기술이 수많은 로그인 시도를 동시에 실행하여 6자리 코드에 대한 옵션을 빠르게 소진시키는 것과 관련이 있다고 설명했습니다. 계정 소유자가 의심스러운 활동에 대한 알림을 받지 못했기 때문에 공격은 신중하게 유지되었습니다.
이 결함으로 인해 해커는 인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force)의 RFC-6238에서 권장하는 표준 만료 기간보다 훨씬 오랫동안 코드를 추측할 수 있었습니다. 일반적으로 시간 기반 일회용 비밀번호(TOTP)는 30초 후에 만료되지만 Oasis의 분석에 따르면 Microsoft의 코드는 약 3분 동안 유효한 것으로 나타났습니다. 이로 인해 성공적인 추측 가능성이 크게 높아져 공격자가 확장된 시간 내에 코드를 해독할 확률이 3% 증가했습니다.
2024년 7월 4일, Oasis는 Microsoft에 취약점을 알렸고, 회사는 6월에 이를 인정했지만 2024년 10월 9일까지 영구적인 수정 사항이 구현되지 않았습니다. 해결 방법에는 지정된 횟수의 시도 실패 후 트리거되는 더 엄격한 속도 제한이 포함되었습니다. . 조직은 잠재적인 공격에 대해 더 큰 보호를 제공하는 인증 앱이나 비밀번호 없는 방법을 사용하여 보안을 강화하는 것이 좋습니다.
이 사건은 MFA를 활용하는 조직이 모범 사례를 채택해야 한다는 점을 강조합니다. 전문가들은 실패한 인증 시도에 대한 경고를 구현하여 조직이 악의적인 활동을 조기에 감지할 수 있도록 권장합니다. 지속적인 취약점을 식별하려면 보안 설정을 정기적으로 검토하는 것이 중요합니다.
또한 보안 전문가들은 강력한 계정 위생의 일환으로 일관된 비밀번호 변경의 중요성을 강조합니다. 공격의 은밀함은 MFA가 손상되었을 때 어떻게 중요한 보안 조치에서 공격 벡터로 전환될 수 있는지를 보여줍니다. 결과적으로 전문가들은 특히 새로운 배포의 경우 비밀번호 없는 인증 솔루션으로의 전환을 옹호합니다.
사이버 보안과 관련된 다양한 조직은 이 사건으로부터 계속해서 배우고 있으며, 널리 받아들여지는 보안 관행도 특정 상황에서는 취약하다는 점을 지적합니다. 사건에 대한 조사가 진행됨에 따라 MFA 구현에 대한 지속적인 경계의 중요성은 분명해졌습니다.
주요 이미지 출처: Ed Hardie/Unsplash
이 MFA 결함으로 인해 Office 365 사용자는 몇 달 동안 사이버 공격에 노출되어 있다는 게시물이 TechBriefly에 처음으로 게재되었습니다.
Source: 이 MFA 결함으로 인해 Office 365 사용자는 몇 달 동안 사이버 공격에 노출될 수 있었습니다.
