연구원들이 Microsoft 앱의 심각한 취약점을 발견했습니다.
사이버 보안 회사 Wiz의 보안 연구원들은 해커가 인증을 우회하여 다양한 Microsoft 애플리케이션에서 사용자 계정을 탈취할 수 있는 새로운 유형의 공격을 발견했습니다. 연구 결과, 이 취약점은 전 세계 조직에서 사용하는 싱글 사인온 및 다단계 인증 서비스인 Azure Active Directory에 뿌리를 두고 있는 것으로 밝혀졌습니다.
조사에 따르면 Azure Active Directory의 잘못된 구성으로 인해 잠재적으로 심각한 문제가 발생하여 스캔한 앱의 최소 35%가 인증 우회에 노출되었습니다. 이 취약점의 가장 심각한 예로는 Bing에 연결된 관리자 인터페이스가 노출되어 모든 사용자가 인터페이스에 액세스할 수 있고 검색 엔진의 관리자 패널이 작동하는 것을 들 수 있습니다.
연구팀은 검색 엔진 결과를 조작하고 크로스 사이트 스크립팅(XSS) 공격을 실행하여 모든 Bing 사용자의 Office365 자격 증명을 손상시킬 수 있었습니다. 이를 통해 개인 데이터, Outlook 이메일, SharePoint 파일 및 Teams 메시지와 같은 민감한 데이터에 액세스할 수 있었습니다. 이 특정 공격은 '빙뱅'이라고 불리며, 전 세계에서 27번째로 가장 많이 방문한 웹사이트라는 빙의 인기를 고려할 때 사용자에게 상당한 위험을 초래할 수 있습니다.
연구원들은 MSN 뉴스레터 제어판인 Mag News, 금지 단어 검사기인 PoliCheck, WordPress 관리자 패널인 Power Automate Blog, 중앙 알림 서비스인 CNS API와 같은 다른 애플리케이션에서도 취약점을 발견했습니다. 해커는 이러한 애플리케이션을 사용하여 Microsoft 개발자에게 내부 알림을 보내거나 많은 수신자에게 이메일을 발송할 수 있습니다.
Microsoft는 이러한 취약점에 대한 알림을 받고 즉시 문제를 해결하기 위한 조치를 취했습니다. Microsoft는 지침 문서를 통해 해당 문제가 해결되었으며 향후 위험을 완화하기 위해 추가 권한 확인을 구현했음을 확인했습니다. Bing 문제는 1월 31일에 처음 보고되어 같은 날 수정되었으며, 추가 취약점은 2월 25일에 보고되어 3월 20일까지 수정되었습니다.
해커가 이러한 결함을 악용한다는 확실한 증거는 없지만 주의를 기울이는 것이 중요합니다. Microsoft에 따르면 Azure Active Directory 로그는 "과거 활동에 대한 인사이트를 제공하기에는 불충분"하므로 사용자는 애플리케이션 로그를 보고 의심스러운 로그의 증거가 있는지 확인하는 것이 좋다고 합니다.
이 글의 출처는 Malwarebytes의 기사입니다.