보안 권고

Microsoft 보안 권고 2876146

무선 PEAP-MS-CHAPv2 인증은 정보 공개를 허용할 수 있습니다.

게시 날짜: 2013년 8월 4일

버전: 1.0

일반 정보

요약

Microsoft는 WPA2 무선 인증용 Windows 전화 사용하는 PEAP-MS-CHAPv2(Microsoft Challenge 핸드셰이크 인증 프로토콜 버전 2를 사용하는 보호된 확장 가능 인증 프로토콜)로 알려진 Wi-Fi 인증 프로토콜의 알려진 약점을 설명하는 공개 보고서를 알고 있습니다. 취약한 시나리오에서 이 문제를 성공적으로 악용한 공격자는 대상 디바이스에 대한 정보 공개를 달성할 수 있습니다. 현재 Microsoft는 활성 공격 또는 고객에게 미치는 영향을 인식하지 않습니다. Microsoft는 고객에게 정보를 제공하고 필요에 따라 고객 지침을 제공하기 위해 이 상황을 적극적으로 모니터링하고 있습니다.

이 문제를 악용하기 위해 공격자 제어 시스템은 알려진 Wi-Fi 액세스 지점으로 제기되어 대상 디바이스가 액세스 지점으로 자동으로 인증을 시도하고 공격자가 피해자의 암호화된 do기본 자격 증명을 가로채도록 허용할 수 있습니다. 그런 다음 공격자는 PEAP-MS-CHAPv2 프로토콜의 암호화 약점을 악용하여 피해자의 할 일기본 자격 증명을 얻을 수 있습니다. 그런 다음 이러한 자격 증명을 다시 사용하여 공격자를 네트워크 리소스에 인증할 수 있으며, 공격자는 사용자가 해당 네트워크 리소스에 대해 수행할 수 있는 모든 조치를 취할 수 있습니다.

권장 사항. 인증 프로세스를 시작하기 전에 무선 액세스 지점을 확인하는 인증서를 요구하도록 제안된 작업을 적용합니다. 자세한 내용은 이 권고의 제안된 작업 섹션을 참조하세요.

권고 세부 정보

영향을 받는 소프트웨어

이 권고에서는 다음 디바이스에 대해 설명합니다.

영향을 받는 디바이스 운영 체제
Windows Phone 8
Windows Phone 7.8

권고 FAQ

권고의 범위는 무엇입니까?
이 권고의 목적은 Microsoft가 PEAP-MS-CHAPv2로 알려진 Wi-Fi 인증 프로토콜과 관련하여 알려진 약점을 설명하는 공개 보고서를 알고 있음을 고객에게 알리는 것입니다. 이 문제는 Windows 전화 디바이스에 영향을 줍니다. 이 문제는 영향을 받는 소프트웨어 섹션에 나열된 디바이스 운영 체제에 영향을 줍니다.

Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성인가요?
아니요, Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성이 아닙니다. 이 문제는 PEAP-MS-CHAPv2 프로토콜의 알려진 암호화 약점으로 인해 발생하며 무선 액세스 지점 및 Windows 전화 8 디바이스에서 구성 변경을 구현하여 해결됩니다.

공격자가 이 문제를 어떻게 사용할 수 있나요?
대부분의 시나리오에서 이 문제를 성공적으로 악용한 공격자는 대상 디바이스에서 피해자의 할 일기본 자격 증명에 대한 정보 공개를 얻을 수 있습니다. 공격자는 피해자의 할 일기본 자격 증명을 다시 사용하여 공격자를 네트워크 리소스에 인증할 수 있으며, 공격자는 사용자가 해당 네트워크 리소스에 대해 수행할 수 있는 모든 조치를 취할 수 있습니다.

공격자가 이 문제를 어떻게 악용할 수 있나요?
공격자 제어 시스템은 알려진 Wi-Fi 액세스 지점으로 간주되어 피해자의 디바이스가 액세스 지점으로 자동으로 인증을 시도하고 공격자가 피해자의 암호화된 do기본 자격 증명을 가로챌 수 있도록 할 수 있습니다. 그런 다음 공격자는 PEAP-MS-CHAPv2 프로토콜의 암호화 약점을 악용하여 피해자의 할 일기본 자격 증명을 얻을 수 있습니다.

PEAP-MS-CHAPv2란?
PEAP-MS-CHAPv2는 권한 있는 디바이스만 무선 네트워크에 연결할 수 있도록 하기 위해 액세스 지점에 사용자를 인증하는 데 사용되는 무선 인증 프로토콜입니다. PEAP-MS-CHAPv2는 WPA2 무선 보호 프로토콜과 함께 일반적으로 사용됩니다.

WPA2란?
Wi-Fi WPA2(Protected Access II), IEEE 802.11i는 무선 네트워크 통신의 기밀성을 보장하는 데 사용되는 보안 프로토콜이며 WPA의 후속 버전입니다.

제안된 작업

이 권고에 설명된 문제의 악용으로부터 보호하려면 다음 제안된 작업 중 하나를 적용합니다.

  • Windows 전화 8 디바이스에서 인증 프로세스를 시작하기 전에 무선 액세스 지점을 확인하는 인증서 필요

    Windows 전화 8 디바이스는 인증 프로세스를 시작하기 전에 네트워크가 회사의 네트워크인지 확인하는 데 도움이 되도록 네트워크 액세스 지점의 유효성을 검사하도록 구성할 수 있습니다. 이 작업은 회사의 서버에 있는 인증서의 유효성을 검사하여 수행할 수 있습니다. 인증서의 유효성을 검사한 후에만 인증 서버로 전송된 사용자 이름 및 암호 정보이므로 휴대폰이 Wi-Fi 네트워크에 연결할 수 있습니다.

    인증서 발급:

    회사 IT는 무선 액세스 지점의 유효성을 검사하는 데 사용할 수 있는 루트 인증서를 발급합니다. 인증서에는 기억하기 쉬운 이름이 있어야 합니다. 예를 들어 "Contoso 회사 루트 인증서"입니다. 이 인증서는 IT 관리 MDM(모바일 장치 관리 솔루션)을 통해 이미 프로비전되었을 수 있습니다.

    인증서는 전자 메일 메시지를 통해 발급할 수 있습니다. 전자 메일 메시지에는 Wi-Fi 인증서 유효성 검사를 켜는 방법에 대한 IT 부서의 지침도 포함되어야 합니다. 예를 들어 전자 메일 메시지에는 다음 단계가 포함될 수 있습니다.

    무선 액세스 지점을 인증하도록 Windows 전화 8을 구성합니다.

    회사 IT에서 루트 인증서를 받은 후 각 Windows 전화 8 사용자는 다음 단계를 수행합니다.

    이전에 구성된 Wi-Fi 연결을 삭제합니다.

    1. 설정 Wi-Fi에서 고급을 탭합니다.
    2. 선택한 Wi-Fi 네트워크를 길게 누르고 삭제를 선택합니다 .

    새 연결을 만들고 서버 인증서 유효성 검사를 사용하도록 설정합니다.

    1. Wi-Fi 설정에서 로그인 페이지를 여는 엔터프라이즈 Wi-Fi 네트워크 액세스 지점을 탭합니다.
    2. 사용자 이름 및 암호 입력
    3. "서버 인증서 유효성 검사"를 켜기로 전환
    4. 탭하여 인증서 선택
    5. 선택할 인증서 목록에서 회사 IT에서 발급한 루트 인증서(예: "Contoso 회사 루트 인증서")를 선택하고 완료를 탭 합니다.

     

  • Windows 전화 장치에서 Wi-Fi 끄기

    설정 Wi-Fi에서 "Wi-Fi 네트워킹"을 끄기로 전환하려면 탭합니다.

     

기타 정보

Feedback

지원

  • 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
  • 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
  • Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

수정 내용

  • V1.0(2013년 8월 4일): 공지 게시됨.

2014-04-18T13:49:36Z-07:00에 빌드