Offcanvas

��������� ������������

"심각성 10점 中 10점"··· 미 CISA, 윈도우 서버 탈취 가능성에 긴급 패치 지시

미 국토안보부 산하 사이버·인프라안보국(이하 CISA)이 연방 정부 기관에게 윈도우 서버 2008부터 윈도우 서버 2019의 액티브 디렉터리 핵심 인증 요소에 들어있는 취약점을 긴급 패치하라는 이례적인 지시를 내렸다.  CISA가 미 연방 정부 기관들에게 윈도우 서버를 며칠 내로 패치하라는 비상 지시를 내렸다. 서버 취약성이 그만큼 심각하다는 것을 시사한다.     해당 지시는 지난 18일에 내려졌으며 정부 기관들은 4일 내로 보안 업데이트를 해야만 했다. 지시에 따르면 유관 기관들은 지난달 11일 발표된 CVE-2020-1472 취약점을 패치하기 위해 "즉각적이고 긴급한 조치"를 취해야 한다.  이 취약점은 윈도우 서버 2008에서 서버 2019의 액티브 디렉터리의 핵심 인증 요소인 마이크로소프트 윈도우 넷로그온 리모트 프로토콜(MS-NRPC) 속에 존재한다. 작동 방식 때문에 "제로로그온"이라는 이름이 붙여졌다.  마이크로소프트의 버그 엔트리에 따르면, CVE-2020-1472 취약점용 패치는 공격자가 NRPC를 사용해 도메인 컨트롤러와 취약한 보안 채널 연결을 설정할 때 발생하는 주요 권한 상승 버그를 해결한다. 이 취약점 때문에 공격자는 네트워크 액세스만 확보하면 인증 없이도 도메인 컨트롤러에 접근해 액티브 디렉토리의 ID 서비스를 완전히 손상시킬 수 있다.  마이크로소프트는 공통 취약점 등급 시스템(CVSS)의 10점 척도를 기준으로 이 취약점에 10점을 부여했다. 취약성이 그만큼 심각하다는 의미다. 이번 패치는 해당 취약점을 해결할 수 있는 유일한 방법이다. 즉, 패치를 통해 취약한 도메인 컨트롤러를 네트워크에서 제거할 수 있다. CISA가 관할하는 기관은 연방정부에 한정된다. 미 국방부처럼 자체 규칙을 가진 곳은 제외된다. 하지만 CISA는 주정부 및 지방정부 기관, 민간 부문, 기타 비정부 기관 등 관할하지 않는 기관들에게도 가능한 한 빨리 업데이트할 것을 강력하게 촉구하...

CISA 윈도우 액티브 디렉터리 제로로그온 버그바운티 패치 화요일

2020.09.29

미 국토안보부 산하 사이버·인프라안보국(이하 CISA)이 연방 정부 기관에게 윈도우 서버 2008부터 윈도우 서버 2019의 액티브 디렉터리 핵심 인증 요소에 들어있는 취약점을 긴급 패치하라는 이례적인 지시를 내렸다.  CISA가 미 연방 정부 기관들에게 윈도우 서버를 며칠 내로 패치하라는 비상 지시를 내렸다. 서버 취약성이 그만큼 심각하다는 것을 시사한다.     해당 지시는 지난 18일에 내려졌으며 정부 기관들은 4일 내로 보안 업데이트를 해야만 했다. 지시에 따르면 유관 기관들은 지난달 11일 발표된 CVE-2020-1472 취약점을 패치하기 위해 "즉각적이고 긴급한 조치"를 취해야 한다.  이 취약점은 윈도우 서버 2008에서 서버 2019의 액티브 디렉터리의 핵심 인증 요소인 마이크로소프트 윈도우 넷로그온 리모트 프로토콜(MS-NRPC) 속에 존재한다. 작동 방식 때문에 "제로로그온"이라는 이름이 붙여졌다.  마이크로소프트의 버그 엔트리에 따르면, CVE-2020-1472 취약점용 패치는 공격자가 NRPC를 사용해 도메인 컨트롤러와 취약한 보안 채널 연결을 설정할 때 발생하는 주요 권한 상승 버그를 해결한다. 이 취약점 때문에 공격자는 네트워크 액세스만 확보하면 인증 없이도 도메인 컨트롤러에 접근해 액티브 디렉토리의 ID 서비스를 완전히 손상시킬 수 있다.  마이크로소프트는 공통 취약점 등급 시스템(CVSS)의 10점 척도를 기준으로 이 취약점에 10점을 부여했다. 취약성이 그만큼 심각하다는 의미다. 이번 패치는 해당 취약점을 해결할 수 있는 유일한 방법이다. 즉, 패치를 통해 취약한 도메인 컨트롤러를 네트워크에서 제거할 수 있다. CISA가 관할하는 기관은 연방정부에 한정된다. 미 국방부처럼 자체 규칙을 가진 곳은 제외된다. 하지만 CISA는 주정부 및 지방정부 기관, 민간 부문, 기타 비정부 기관 등 관할하지 않는 기관들에게도 가능한 한 빨리 업데이트할 것을 강력하게 촉구하...

2020.09.29

500개 앱 비번이 모두 '같다'··· 암호 관리가 필요한 이유

암호 관리 툴은 소비자를 위한 무료나 저가 앱으로 시작했다. 웹사이트 및 애플리케이션의 암호와 로그인 정보를 추적해 줌으로써 사용자 계정에 길고 추측하기 어려운 고유한 암호를 만들어 관리하는 것이 가능해졌다. 대부분의 암호 관리는 암호 목록을 사용자만 알고 있는 마스터 암호 하나로 암호화하는 방식을 사용한다. 따라서 암호 관리 회사 직원들이나 해커들도 암호 목록 내용을 알 수 없다. 주요 암호 관리 툴이라면 모바일 앱도 제공하므로 사용자는 어느 기기에서나 쉽게 자신의 계정에 로그인할 수 있다. 보안 강화를 위한 다단계 인증도 지원된다. 기업 싱글사인온(SSO) 및 클라우드 접속 솔루션의 허점 반면, 기업은 대체로 내부 암호 관리에 자체 시스템을 이용한다. 직원의 온라인 서비스 접속 관리에는 싱글사인온(SSO) 업체들과 클라우드 접속 보안 중개업체를 활용한다. 그래도 많은 기업은 핵심 접속 시스템을 보완하기 위해 암호 관리를 사용한다. 그런데 기업용 솔루션의 보안 문제점 중 하나는 직원들이 업무에 사용하는 계정을 모두 다 보호하지는 못한다는 점이다. 쿠델스키 시큐리티(Kudelski Security)의 CIO 앤드류 하워드는 “SSO가 계속해서 확대되고 있지만 아직 어디에나 있는 것은 아니다”고 지적했다. 따라서 기업은 지원되지 않는 시스템의 모든 암호 관리는 사용자에게 맡긴다. 관리 담당 직원과 같은 중요한 직원들은 다른 많은 시스템에 여러 개의 계정을 보유할 수 있다. 하워드는 “고객 중에서 관리자가 500~600개의 인증 정보를 가진 경우를 흔하게 본다. 최악의 상황은 600개의 애플리케이션의 암호가 모두 같은 것이다. 만일 그 한 개의 암호가 유출되면 600개 시스템 전체가 위험해진다”고 경고했다. 오범(Ovum)의 설문조사에 따르면 56%의 기업에 SSO 자체가 없으며 22%는 SSO가 일부 기업 시스템에만 적용되는 것으로 나타났다. 규모가 작은 회사들...

CSO 액티브 디렉터리 구글 포 워크 싱글사인온 SSO 암호 소니 오범 CISO SAML

2018.01.08

암호 관리 툴은 소비자를 위한 무료나 저가 앱으로 시작했다. 웹사이트 및 애플리케이션의 암호와 로그인 정보를 추적해 줌으로써 사용자 계정에 길고 추측하기 어려운 고유한 암호를 만들어 관리하는 것이 가능해졌다. 대부분의 암호 관리는 암호 목록을 사용자만 알고 있는 마스터 암호 하나로 암호화하는 방식을 사용한다. 따라서 암호 관리 회사 직원들이나 해커들도 암호 목록 내용을 알 수 없다. 주요 암호 관리 툴이라면 모바일 앱도 제공하므로 사용자는 어느 기기에서나 쉽게 자신의 계정에 로그인할 수 있다. 보안 강화를 위한 다단계 인증도 지원된다. 기업 싱글사인온(SSO) 및 클라우드 접속 솔루션의 허점 반면, 기업은 대체로 내부 암호 관리에 자체 시스템을 이용한다. 직원의 온라인 서비스 접속 관리에는 싱글사인온(SSO) 업체들과 클라우드 접속 보안 중개업체를 활용한다. 그래도 많은 기업은 핵심 접속 시스템을 보완하기 위해 암호 관리를 사용한다. 그런데 기업용 솔루션의 보안 문제점 중 하나는 직원들이 업무에 사용하는 계정을 모두 다 보호하지는 못한다는 점이다. 쿠델스키 시큐리티(Kudelski Security)의 CIO 앤드류 하워드는 “SSO가 계속해서 확대되고 있지만 아직 어디에나 있는 것은 아니다”고 지적했다. 따라서 기업은 지원되지 않는 시스템의 모든 암호 관리는 사용자에게 맡긴다. 관리 담당 직원과 같은 중요한 직원들은 다른 많은 시스템에 여러 개의 계정을 보유할 수 있다. 하워드는 “고객 중에서 관리자가 500~600개의 인증 정보를 가진 경우를 흔하게 본다. 최악의 상황은 600개의 애플리케이션의 암호가 모두 같은 것이다. 만일 그 한 개의 암호가 유출되면 600개 시스템 전체가 위험해진다”고 경고했다. 오범(Ovum)의 설문조사에 따르면 56%의 기업에 SSO 자체가 없으며 22%는 SSO가 일부 기업 시스템에만 적용되는 것으로 나타났다. 규모가 작은 회사들...

2018.01.08

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31