상세 컨텐츠
본문
Microsoft fixes Windows Hello authentication bypass vulnerability
마이크로소프트가 생체 인식 기반 인증 기술인 윈도우의 Hello 내 보안 우회 취약점을 패치했습니다.
이 취약점을 악용할 경우 공격자는 타깃의 ID를 스푸핑하고 얼굴 인식 메커니즘을 속여 시스템에 접근할 수 있었습니다.
마이크로소프트에 따르면, 비밀번호 대신 윈도우 Hello를 사용하여 기기에 로그인하는 윈도우 10 사용자의 수는 지난 2019년 동안 69.4%에서 84.7%로 증가했습니다.
악용에 물리적 접근 필요해
CyberArk Labs의 보안연구원들이 발견한 바와 같이, 공격자는 타깃의 유효한 단일 IR(적외선) 프레임을 사용하여 Hello의 안면 인식 기능을 완전히 우회할 수 있는 커스텀 USB 기기를 만들 수 있습니다.
Tsarfati는 지난 3월 CVE-2021-34466로 등록된 이 취약점을 마이크로소프트 측에 제보했으며, 해당 취약점은 심각도 ‘중요’로 평가되었습니다.
마이크로소프트는 인증되지 않은 공격자가 이 취약점을 악용하고자 할 경우 타깃 기기에 물리적으로 접근해야 한다고 밝혔습니다.
“기기에 물리적으로 접근할 수 있는 공격자는 이 취약점을 통해 타깃의 얼굴 사진을 캡처 또는 제작해 커스텀 USB 장치를 연결하여 스푸핑된 이미지를 인증 호스트에 삽입해 인증 프로세스를 조작할 수 있습니다. 이 취약점이 실제 공격에 악용되었다는 증거는 없지만, 악의적 동기를 가진 공격자가 연구원, 과학자, 언론인 활동가, 권한을 가진 사용자를 타깃으로 사용이 가능합니다.”
마이크로소프트는 2021년 7일 ‘패치 화요일’을 통해 CVE-2021-34466 취약점을 해결하는 윈도우 10 보안 업데이트를 공개했습니다.
마이크로소프트는 향상된 로그인 보안을 지원하는 생체 인식 센서 하드웨어와 드라이버를 사용하는 윈도우 Hello 고객은 이 취약점을 악용한 공격에 노출되지 않는다고 밝혔습니다.
또한 사용자에 기기의 향상된 로그인 보안 상태에 대해서는 각 장치 제조 업체에 문의할 것을 당부했습니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| BazarLoader, 중첩된 RAR, ZIP 아카이브 통해 침투해 (0) | 2021.07.15 |
|---|---|
| 중국 <네트워크 제품 보안 취약점 관리규정> 9월 1일 시행 (0) | 2021.07.14 |
| Trickbot 악성코드 돌아와, 새로운 VNC 모듈로 피해자 감시해 (0) | 2021.07.14 |
| 패션 브랜드 Guess, 랜섬웨어 공격 후 데이터 유출 사고 발생 알려 (0) | 2021.07.13 |
| SolarWinds, 실제 공격에 악용되는 치명적인 Serv-U 취약점 패치 (0) | 2021.07.13 |
댓글 영역