본문 바로가기
Microsoft 365

[AIP] Azure Information Protection 취약점

by (주)엠플 2021. 6. 25.

문서 개요

AIP(Azure Information Protection) 기능 민감도 레이블을 사용하여 문서를 암호화,

해당 PC에서 기존 사용자 로그아웃 후 권한이 없는 계정으로 Office365 로그인 시 기존 사용자의인증 토큰이 남아 있어 권한 없이 문서 확인 가능 취약점

 

테스트 시나리오

1. 문서 생성 및 민감도 레이블 설정

- test01 사용자 계정만 해당 문서를 볼 수 있도록 설정

 

2. AIP 민감도 레이블 적용 확인

- 다른 사용자에게 문서 전달 후 정책 적용 확인

 

 

3. 해당 문서를 볼 수 있는 PC에서 OFFICE 로그아웃 후 권한이 없는 다른 계정으로 로그인

 

4. 문서 확인

- 문서를 볼 수 있는 권한이 없는 계정으로 로그인 하여도 기존 로그인한 계정의 인증 토큰이 PC에 남아 있어 문서가 정상적으로 열림

댓글