마이크로소프트, 심각한 계정 탈취 보안취약점 패치

마이크로소프트, 심각한 계정 탈취 보안취약점 패치

Microsoft patches severe account hijacking security flaw

지난 1월, 영국 보안연구원 Jack Whitton는 POST 값의 변조로 마이크로소프트 제품에서 사용자 위장에 사용될 수 있는 계정 인증 취약점을 발견 하였습니다. 발견 후 마이크로소프트 측에 알렸고, 마이크로소프트가 48시간만에 해당 취약점을 패치했다고 4월3일 블로그 포스트에서 밝혔습니다.

해당 취약점을 이용하면 피싱 웹사이트에서 로그인 토큰을 탈취해 차후 사용자 계정과 데이터를 탈취할 수 있습니다. 

마이크로소프트는 아웃룩 이메일부터 Azure까지 많은 온라인 서비스를 지원합니다. 사용자들이 해당 서비스에 접근하고자 할 때, 사용자의 크리덴셜을 입력해 도메인 주소 내 'wreply' 값으로 POST 리퀘스트가 전송됩니다.

이 사용자 토큰은 로그인 프로세스에 사용되는데, 서비스가 독립된 도메인에서 각각 호스팅되므로, 인증에 있어서 쿠키는 사용되지 않으며 토큰만이 필요합니다. 

해당 값이 해커의 서버로 넘어갈 경우, 사용자 위장이 가능해 사이트간 요청 위조 공격을 위한 로그인에 토큰이 사용되는 것 입니다.

Jack Whitton은 URL 코딩 파라미터를 수정하고 파싱하여, 서로 다른 필터들을 우회할 수 있었습니다. 

이 버그를 이용하면 해커들은 임의의 URL을 POST 인증 토큰으로 지정할 수 있으며, 피싱 웹사이트를 통하여 해당 데이터를 얻을 경우, 사용자의 계정에 대한 접근권한을 얻을 수 있게되는 것입니다. 

또한 토큰이 발행한 서비스에서만 유효한다 하더라도, 로그인 URL에 여러 숨겨인 iframe을 생성하여 여러 서비스들의 토큰들을 탈취하는 것은 쉬운 일이라고 밝혔습니다.   

 

참고 : 

http://www.zdnet.com/article/microsoft-patches-severe-account-hijacking-security-flaw/