Microsoft Patch Tuesday, 2026년 3월판

Source: Krebs on Security

Microsoft Corp. 오늘 Windows 운영 체제 및 기타 소프트웨어의 최소 77개 취약점을 해결하기 위해 보안 업데이트를 배포했습니다. 이번 달에는 긴급 “제로‑데이” 결함이 없으며(2월의 다섯 건 제로‑데이와 비교), 하지만 평소와 같이 일부 패치는 Windows를 사용하는 조직에서 보다 신속히 검토될 필요가 있습니다. 이번 월간 Patch Tuesday의 주요 내용은 다음과 같습니다.

공개된 취약점

• CVE‑2026‑21262 – SQL Server 2016 이후 버전에서 발생하는 권한 상승 취약점. 인증된 공격자가 네트워크를 통해 sysadmin 권한으로 상승할 수 있습니다. (CVSS v3 기본 점수: 8.8)
• CVE‑2026‑26127 – .NET에서 실행되는 애플리케이션의 취약점. 악용 시 주로 서비스 충돌을 일으키는 서비스 거부(DoS) 형태이며, 서비스 재시작 중 다른 공격이 발생할 가능성도 있습니다.

Microsoft Office 원격 코드 실행 결함

• CVE‑2026‑26113 – 미리 보기 창에서 악성 메시지를 확인할 때 원격 코드 실행이 발생합니다.
• CVE‑2026‑26110 – 위와 동일한 유형의 악용이 가능합니다.

두 결함 모두 손상된 이메일을 열기만 하면 활성화될 수 있는 치명적인 Office 버그입니다.

권한 상승 버그 (이번 달 CVE의 55%)

Tenable의 Satnam Narang은 다양한 Windows 구성 요소에서 “악용 가능성 높음”으로 평가된 절반 정도의 취약점이 있다고 지적했습니다:

• CVE‑2026‑24291 – Windows 접근성 인프라 내 잘못된 권한 할당으로 SYSTEM 접근이 가능해짐 (CVSS 7.8)
• CVE‑2026‑24294 – 핵심 SMB 구성 요소에서 인증 절차가 부적절함 (CVSS 7.8)
• CVE‑2026‑24289 – 고위험 메모리 손상 및 레이스 컨디션 결함 (CVSS 7.8)
• CVE‑2026‑25187 – Google Project Zero가 발견한 Winlogon 프로세스 취약점 (CVSS 7.8)

AI가 발견한 치명적 취약점

Immersive의 수석 사이버 보안 엔지니어 Ben McCarthy는 CVE‑2026‑21536을 강조했습니다. 이는 Microsoft Devices Pricing Program에 존재하는 치명적인 원격 코드 실행 버그이며, XBOW라는 완전 자동 AI 침투 테스트 에이전트에 의해 식별되었습니다. 이는 Windows에 공식 CVE가 부여된 최초의 AI‑생성 취약점입니다.

• Microsoft는 이미 해당 결함을 패치했으며, Windows 사용자는 별도의 조치가 필요하지 않습니다.
• 이 취약점은 CVSS 9.8 점수를 받아 AI 지원 취약점 연구의 영향력이 커지고 있음을 보여줍니다.

추가 Microsoft 패치

• 브라우저 관련 취약점 9건이 해결되었습니다(주요 Patch Tuesday 집계에는 포함되지 않음).
• 3월 2일에 Windows Server 2022에 대한 긴급 긴급 업데이트가 배포되어, 비밀번호 없는 인증(Windows Hello for Business)에 영향을 주던 인증서 갱신 문제를 해결했습니다.

기타 벤더 업데이트

• Adobe는 Acrobat 및 Adobe Commerce 등 제품군에서 80개의 취약점(중대형 포함)에 대한 업데이트를 제공했습니다.
• Mozilla Firefox 버전 148.0.2는 세 개의 고위험 CVE를 해결했습니다.

참고 자료 및 추가 읽을거리

• 전체 Microsoft Patch Tuesday 분석 – SANS Internet Storm Center:
• 지속적인 Windows 업데이트 소식 – AskWoody: