<p>Microsoft의 로그인 시스템 버그로 인해 사용자가 계정 도용 위험에 처하게 됨</p><p>마이크로 소프트 보안 시스템은 의심하지 않는 피해자가 자신의 온라인 계정에 대한 완전한 액세스 권한을 부여하도록 속이는 데 사용될 수있는 로그인 시스템의 취약점을 수정했습니다.</p><p>이 버그로 인해 공격자는 웹 사이트 및 앱이 사용자에게 지속적으로 암호를 다시 입력하지 않고도 계정에 대한 액세스 권한을 부여하는 데 사용하는 계정 토큰을 조용히 훔칠 수있었습니다. 이 토큰은 사용자가 로그인 한 후 사용자 이름과 비밀번호 대신 앱 또는 웹 사이트에서 생성합니다.이를 통해 사용자는 지속적으로 사이트에 로그인 할 수 있지만 사용자가 직접 손을 댈 필요없이 타사 앱 및 웹 사이트에 액세스 할 수 있습니다 그들의 암호를 통해.</p><p>이스라엘의 사이버 보안 회사 인 CyberArk의 연구원은 Microsoft가 우연히 허점을 열어 놓았는데,이 취약점은 악용 될 경우 잠재적으로 사용자에게 알리지 않고 피해자의 계정에 액세스하는 데 사용되는 이러한 계정 토큰을 제거하는 데 사용될 수 있음을 발견했습니다.</p><p>TechCrunch와 독점적으로 공유 한 CyberArk의 최신 연구는 Microsoft가 구축 한 소수의 앱에 연결된 수십 개의 등록되지 않은 하위 도메인을 발견했습니다. 이러한 사내 앱은 신뢰도가 높기 때문에 사용자의 명시적인 동의없이 관련 하위 도메인을 사용하여 액세스 토큰을 자동으로 생성 할 수 있습니다.</p><p>하위 도메인이 있으면 공격자는 의심하지 않는 피해자가 전자 메일이나 웹 사이트에서 특수하게 조작 된 링크를 클릭하도록 속이는 것만으로도 토큰을 도난 당할 수 있습니다.</p><p>일부 경우에, 연구원은“제로 클릭”방식으로 수행 될 수 있으며, 이름에서 알 수 있듯이 사용자 상호 작용이 거의 필요하지 않습니다. 내장 웹 페이지를 숨기는 악의적 인 웹 사이트는 악의적 인 전자 메일의 링크와 동일한 요청을 자동으로 트리거하여 사용자의 계정 토큰을 훔칠 수 있습니다.</p><p>다행히 연구원들은 악의적 인 오용을 방지하기 위해 취약한 Microsoft 앱에서 찾을 수있는 많은 하위 도메인을 등록했지만 더 많은 도메인이있을 수 있다고 경고했습니다.</p><p>보안 결함은 10 월 말에 Microsoft에보고되었으며 3 주 후에 수정되었습니다.</p><p>마이크로 소프트 대변인은“우리는 11 월이 보고서에서 언급 한 애플리케이션 문제를 해결했으며 고객은 보호 받았다”고 말했다.</p><p>Microsoft가 로그인 시스템의 버그를 수정 한 것은 이번이 처음이 아닙니다. 거의 정확히 1 년 전, 소프트웨어 및 서비스 대기업 은 연구원들이 부적절하게 구성된 Microsoft 하위 도메인의 레코드를 변경하고 Office 계정 토큰을 도용 할 수 있는 유사한 취약점 을 수정했습니다.</p><p><br></p>
<!-- -->
