Microsoft Authenticator 알림에 추가적인 컨텍스트 표시

MEDIUM

설명

Microsoft Authenticator는 MFA 및 패스워드리스 인증을 위한 Microsoft 공식 모바일 애플리케이션으로, Entra ID에서 인증 방식으로 흔히 사용됩니다.

MFA 또는 패스워드리스 인증이 요청되면 이 애플리케이션이 푸시 알림을 보내는데, 여기에 대상 애플리케이션, 로그인 시도 위치 등 추가적인 컨텍스트가 표시될 수 있습니다(Microsoft에서 IP 주소로부터 추론함). 이렇게 하면 프롬프트가 적법한지 악성 공격인지 사용자가 판단하는 데 도움이 됩니다.

이 위험 노출 지표(IoE)는 다음 설정을 검사합니다.

  • "푸시 및 패스워드리스 알림에 애플리케이션 이름 표시"
  • "푸시 및 패스워드리스 알림에 지리적 위치 표시"

두 설정 모두 예상되는 안전한 값은 "사용"입니다. 중간 값인 "Microsoft 관리형"(Graph API에서 기본값)을 사용하면 Microsoft에서 변화하는 보안 위협 환경에 기반하여 정확한 값을 정의할 수 있습니다. 하지만 2024년 말에 이 IoE가 도입되던 당시 Microsoft에서 이러한 설정을 "사용 안 함"으로 설정했으므로 이 IoE는 기본적으로 "Microsoft 관리형"을 안전한 것으로 간주하지 않습니다(단, 사용자가 매개 변수를 통해 이 동작을 조정할 수 있음).

이 기능은 피해자가 알림을 승인할 때까지 공격자가 피해자에게 알림을 쏟아내는 형태의 MFA 피로 공격에 맞서는 데 특히 효과적입니다. 추가적인 컨텍스트를 사용하면 사용자 인식을 강화하며 사용자가 악성 시도를 알아보고 거부할 가능성이 커집니다.

또한 Microsoft에서는 보안이 강화된 Microsoft Entra 구성에서 "Authenticator 앱에 로그인 컨텍스트 표시"를 권장합니다.

솔루션

Tenable에서는 Microsoft Authenticator 인증 방법에서 이 두 설정에 "사용" 상태를 적용할 것을 권장합니다.

  • "푸시 및 패스워드리스 알림에 애플리케이션 이름 표시"
  • "푸시 및 패스워드리스 알림에 지리적 위치 표시"

이러한 추가적인 컨텍스트가 어떻게 표시되는지와, 다양한 방법을 사용해 이러한 컨텍스트를 사용하는 방법에 대한 자세한 내용은 다음 Microsoft 설명서를 참조하십시오. Microsoft Authenticator 알림에서 추가적인 컨텍스트를 사용하는 방법 - 인증 방법 정책.

취약성 설명에서 언급한 것과 같이, "Microsoft 관리형" 상태(Graph API에서 기본값)는 현재 "사용 안 함"과 동일하므로(2024년 말 기준) 사용하지 않는 것이 좋습니다.

필요한 경우, 이러한 구성을 전체적으로 "사용"으로 설정하는 동시에 "포함" 및 "제외" 설정을 사용하여 "대상" 그룹을 지정할 수 있습니다. Tenable에서는 "모든 사용자" 옵션과 함께 "포함"을 사용하여 모든 사용자에게 이러한 설정을 적용하도록 권장합니다.

지표 세부 정보

이름: Microsoft Authenticator 알림에 추가적인 컨텍스트 표시

코드명: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: