마이크로소프트는 2012년 8월 21일(한국시각)에 보안 권고 2743314 를 발표하였습니다.

 

보안 권고 2743314 - Unencapsulated MS-CHAP v2 Authentication Could Allow Information Disclosure

 

[요약]

마이크로소프트는 MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol version 2) 프로토콜의 암호화 취약점을 이용해 실행할 수 있는 상세한 악용 코드가 공개되었음을 확인했습니다. MS-CHAP v2 프로토콜은 PPTP(Point-to-Point Tunneling Protocol) 기반 VPN 에 일반적으로 사용되는 인증 방법입니다.

마이크로소프트는 현재까지 이 악용 코드를 사용한 실제 공격이나 고객에 대한 영향을 발견하지 못했습니다. 마이크로소프트는 고객에게 정확한 정보와 필요한 지침을 제공하기 위하여 상황을 면밀하게 모니터링하고 있습니다.

 

[취약점 정보]

MS-CHAP v2 프로토콜의 암호화 취약점을 성공적으로 악용한 공격자는 사용자 자격 증명을 획득할 수 있습니다. 공격자는 획득한 자격증명을 재사용하여 네트워크 리소스에 접근하는 등 모든 작업을 실행할 수 있습니다.

 

[권장 방법]

PPTP 기반 VPN 의 인증 방법에 오직 MS-CHAP v2 만을 사용한다면 이 취약점에 영향을 받습니다.

마이크로소프트는 PPTP 기반 VPN 인증에 PEAP-MS-CHAP v2 인증 방법을 구성하여 사용하시기를 권장합니다.

자세한 구성 방법 및 FAQ 에 대한 정보는 아래의 문서를 확인해 주십시오.

 

[추가 정보]

 

[정보의 일관성]

본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다. 웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다. 이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불 일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.
기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다.
보안 업데이트와 관련된 기술 지원 통화는 무료입니다.

감사합니다.
한국마이크로소프트 고객지원부