마이크로소프트 익스체인지 서버 취약점, 활발히 악용… 마이크로소프트에 안 좋은 한 주
Source: Slashdot
Forbes는 이를 “이미 외부에 유출된 상태이며, 미국 사이버보안 및 인프라 보안청(CISA)에 따르면 현재 활발히 악용되고 있다”고 설명하며, “공격 경로가 상당한 위험을 초래하므로 모든 조직이 신속한 복구를 최우선으로 해야 한다”고 강조했습니다.
Microsoft는 SecurityWeek에 “우리는 Exchange Outlook Web Access(OWA)에서 발생하는 스푸핑 취약점을 해결하기 위해 CVE‑2026‑42897을 발표했다”고 전했습니다. “고객에게 EEMS를 활성화해 더 나은 보호를 받을 것을 권장하며, 여기에서 제공되는 가이드를 따르라고 안내한다.”
Microsoft는 이번 주 Patch Tuesday 업데이트를 통해 137개의 취약점을 패치했으며, 사이버보안 업계는 최신 업데이트에 제로데이 취약점이 포함되지 않은 점에 놀랐습니다. 그러나 5월 14일, 즉 48시간 후에 제로데이 취약점이 공개되었습니다. 이는 Exchange Server Subscription Edition, 2016, 2019에 영향을 주는 스푸핑 및 XSS 문제였습니다. Microsoft는 자사 권고문에서 “Microsoft Exchange Server에서 웹 페이지 생성 중 입력을 제대로 중화하지 못하는 ‘교차 사이트 스크립팅’(XSS)으로 인해 무단 공격자가 네트워크를 통해 스푸핑을 수행할 수 있다”고 밝혔습니다.
이 취약점은 Exchange Outlook Web Access(OWA)에 영향을 미치며, 공격자는 대상 사용자에게 특수하게 조작된 이메일을 보내어 이를 악용할 수 있습니다. “사용자가 Outlook Web Access에서 해당 이메일을 열고 특정 상호작용 조건이 충족되면, 브라우저 컨텍스트에서 임의의 JavaScript가 실행될 수 있다”고 Microsoft는 설명했습니다.
CSO Online은 더 자세한 내용을 전했습니다. “관리자는 완화 조치가 수동이든 EM 서비스 자동이든 적용된 후 알려진 문제가 있다는 점을 유념해야 한다.”
- OWA 인쇄 캘린더 기능이 작동하지 않을 수 있다. 해결 방법으로는 데이터를 복사하거나 캘린더를 스크린샷으로 저장해 인쇄하거나 Outlook 데스크톱 클라이언트를 사용하는 것이다.
- 인라인 이미지가 수신자의 OWA 읽기 창에 올바르게 표시되지 않을 수 있다. 해결 방법은 이미지를 이메일 첨부 파일로 보내거나 Outlook 데스크톱 클라이언트를 사용하는 것이다.
- 관리자는 완화 세부 정보에서 “이 Exchange 버전에는 완화가 적용되지 않음”이라는 메시지를 받을 수 있다. 이는 외관상의 문제이며, 상태가 “적용됨”으로 표시되면 완화가 정상적으로 적용된 것이다. Microsoft는 이 결함을 해결하기 위해 조사 중이다.
Forbes는 “이번 주는 Microsoft Exchange가 보안 취약점 측면에서 매우 힘든 몇 날을 보냈다”고 언급했으며, 같은 주에 Pwn2Own Berlin 해킹 이벤트에서 제로데이 취약점이 시연되었고, 이는 “책임 있게 공개되었으며 외부에 유출되지 않았다”고 덧붙였습니다.
베를린 이벤트는 5월 14일에 Windows 11이 최소 세 개의 제로데이 공격을 받으며 화려하게 시작되었습니다. 둘째 날에는 해킹 팀이 Microsoft Exchange의 세 가지 새로운 취약점을 연쇄적으로 이용해 시스템 수준 원격 코드 실행이라는 최고의 목표를 달성했습니다. 이 성과가 너무나도 뛰어나 DEVCORE Research Team의 Orange Tsai는 모든 기술 세부 정보를 즉시 행사 주최 측에 전달한 대가로 200,000달러의 현상금을 받았습니다.
“Forbes는 이것이 사실 좋은 소식이라고 적었다. ‘취약점에 대한 전체 세부 정보와 익스플로잇 코드의 기술적 성격이 Microsoft에 전달될 것이며, Microsoft는 공개 전에 90일 내에 패치를 제공할 수 있다’”고 전했습니다.
Read more of this story at Slashdot.