Microsoft 는 2013년 8월 5일(한국시각)에 Microsoft 보안 권고 2876146 을 발표하였습니다.

Microsoft 보안 권고 (2876146) 무선 PEAP-MS-CHAPv2 인증이 정보 유출을 유발할 수 있음
http://technet.microsoft.com/ko-kr/security/advisory/2876146

===========================
요약
===========================
Microsoft는 Windows Phone에서 WPA2 무선 인증에 사용하는 PEAP-MS-CHAPv2(Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2)라는Wi-Fi 인증 프로토콜의 알려진 약점에 대해 공개적인 보고를 받았습니다. 취약점 시나리오에 따르면, 이 문제점 악용에 성공한 공격자는 대상 장치에 대한 정보를 유출할 수 있습니다. 이와 관련해 Microsoft는 실제 공격 또는 고객에 미치는 영향에 대해 현재까지 보고 받은 바가 없습니다. Microsoft는 고객에게 정확한 정보와 필요한 지침을 제공하기 위하여 상황을 면밀하게 모니터링하고 있습니다.

이 문제점을 악용하기 위해 공격자가 제어하는 시스템은 알려진 Wi-Fi 액세스 지점으로 가장할 수 있으며, 이로 인해 대상 장치가 액세스 지점을 자동으로 인증하도록 하여 공격자가 피해자의 암호화된 도메인 자격 증명을 가로챌 수 있게 됩니다. 공격자는 PEAP-MS-CHAPv2 프로토콜의 암호화 약점 악용에 성공하게 되어 피해자의 암호화된 자격 증명을 얻어냅니다. 공격자는 이 자격 증명을 재사용하여 네트워크 리소스에 인증하고, 해당 네트워크 리소스에서 사용자가 취할 수 있는 모든 작업을 할 수 있습니다.

권장 사항. 인증 프로세스를 시작하기 전 권장 조치를 적용하여 무선 액세스 지점을 확인하는 인증을 요청하십시오. 자세한 내용은 권고의 권장 조치 항목을 참조하십시오.

===========================
영향을 받는 소프트웨어
===========================
이 권고에 해당하는 장치는 다음과 같습니다.

영향을 받는 장치 운영 체제
• Windows Phone 8
• Windows Phone 7.8

===========================
권고 FAQ
===========================
Q: 이 권고의 범위는 무엇입니까?
A: 이 권고의 목적은 Microsoft가 PEAP-MS-CHAPv2라는 Wi-Fi 인증 프로토콜과 관련하여 알려진 약점에 대해 인지하고 있다는 사실을 고객에게 알리기 위함입니다. 이 문제점은 Windows Phone 장치에 영향을 미칩니다. 이 문제점은 영향을 받는 소프트웨어 섹션에 나열된 장치 운영 체제에 영향을 줍니다.

Q: 이 문제점은 Microsoft에서 보안 업데이트를 배포해야 하는 보안 취약점입니까?
A: 아니요, 이 문제점은 Microsoft에서 보안 업데이트를 배포해야 하는 보안 취약점이 아닙니다. 이 문제점은 PEAP-MS-CHAPv2 프로토콜의 알려진 암호화 약점으로 인한 것이며 무선 액세스 지점 및 Windows Phone 8 장치에 대한 구성 변경을 실행하면 해결됩니다.

Q: 공격자는 이 문제점을 악용하여 무엇을 할 수 있습니까?
A: 대부분의 경우, 이 문제점을 성공적으로 악용한 공격자는 대상 장치로부터 피해자의 도메인 자격 증명 정보를 유출할 수 있습니다. 공격자는 피해자의 도메인 자격 증명을 재사용하여 네트워크 리소스에 인증하고, 해당 네트워크 리소스에서 사용자가 취할 수 있는 모든 작업을 할 수 있습니다.

Q: 공격자는 이러한 문제점을 어떻게 악용합니까?
A: 공격자가 제어하는 시스템은 알려진 Wi-Fi 액세스 지점으로 가장할 수 있으며, 이로 인해 피해자의 장치가 액세스 지점을 자동으로 인증하도록 하여 공격자가 피해자의 암호화된 도메인 자격 증명을 가로챌 수 있게 됩니다. 공격자는 PEAP-MS-CHAPv2 프로토콜의 암호화 약점 악용에 성공하게 되어 피해자의 암호화된 자격 증명을 얻어냅니다.

Q: PEAP-MS-CHAPv2란 무엇입니까?
A: PEAP-MS-CHAPv2는 사용자가 인증된 장치만이 무선 네트워크에 연결될 수 있도록 하기 위한 목적으로 액세스 지점에 인증하는 데 사용하는 무선 인증 프로토콜입니다. PEAP-MS-CHAPv2는 일반적으로 WPA2 무선 보호 프로토콜과 함께 사용됩니다.

Q: WPA2란 무엇입니까?
A: Wi-Fi Protected Access II(WPA2), IEEE 802.11i는 무선 네트워크 통신의 기밀성을 유지하는 데 사용되며 WPA의 후속 보안 프로토콜입니다.

===========================
권장 조치
===========================
이 권고에 설명된 문제점 악용으로부터 보호를 받으려면 다음의 권장 조치 중 하나를 적용하십시오.
- Windows Phone 8 장치에서 인증 프로세스를 시작하기 전에 무선 액세스 지점을 확인하는 인증서 요청
- Windows Phone 장치에서 Wi-Fi를 끕니다

자세한 방법은 Microsoft 보안 권고 2876146 문서의 [권장 조치]를 살펴보시기 바랍니다.

===========================
추가 정보
===========================
• Microsoft 보안 권고 (2876146) 무선 PEAP-MS-CHAPv2 인증이 정보 유출을 유발할 수 있음 - http://technet.microsoft.com/ko-kr/security/advisory/2876146

• Microsoft Security Response Center (MSRC) Blog: http://blogs.technet.com/msrc 

• Microsoft Malware Protection Center (MMPC) Blog: http://blogs.technet.com/mmpc 

• Security Research & Defense (SRD) Blog: http://blogs.technet.com/srd  

===========================
정보의 일관성
===========================
본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다. 웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다. 이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불 일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.
기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다.
보안 업데이트와 관련된 기술 지원 통화는 무료입니다.

감사합니다.
한국마이크로소프트 고객지원부