마이크로소프트, 공격에 악용된 익스체인지 서버 제로데이 보안 패치
Microsoft는 Outlook Web Access 사용자를 대상으로 하는 교차 사이트 스크립팅(XSS) 공격에서 임의의 JavaScript 코드를 실행할 수 있게 하는, 현재 악용되고 있는 Exchange Server 취약점을 패치했습니다.
이 고위험 스푸핑 취약점(CVE-2026-42897)은 Exchange Server 2016, Exchange Server 2019, 그리고 Exchange Server Subscription Edition(SE) 소프트웨어에 영향을 미치며, 권한이 없는 원격 공격자에 의해 악용될 수 있습니다.
“공격자는 특수하게 조작된 이메일을 사용자에게 전송함으로써 이 문제를 악용할 수 있습니다. 사용자가 Outlook Web Access에서 해당 이메일을 열고 특정 상호작용 조건이 충족되면, 브라우저 컨텍스트에서 임의의 JavaScript가 실행될 수 있습니다.”라고 Exchange 팀이 5월 중순에 밝혔으며, Microsoft는 Exchange Emergency Mitigation Service(EEMS)를 통해 자동 임시 완화를 배포했습니다.
BleepingComputer은 CVE-2026-42897을 악용한 공격에 관한 질문에 대해 아직 Microsoft로부터 답변을 받지 못했습니다.
어제 Microsoft는 영향을 받는 Exchange Server 설치본의 보안 결함을 해결하기 위해 보안 업데이트를 배포했으며, 관리자는 “가능한 한 빨리” 이를 적용하고 추가 보호를 위해 완화 조치를 유지할 것을 권고했습니다.
“Microsoft는 이 취약점으로부터 보호받기 위해 해당 Exchange Server 버전에 맞는 2026년 6월 보안 업데이트를 가능한 한 빨리 설치할 것을 권장합니다.”라고 원본 보안 권고문 업데이트에 적시했습니다.
“보안을 강화하고 환경 전반에 걸친 방어력을 향상시키기 위한 지속적인 노력의 일환으로, 교차 사이트 스크립팅 공격에 대한 보호를 계속해서 강화하고 있습니다. 고객은 현재 적용 중인 완화 조치를 유지할 것을 권장합니다. 이 완화 조치는 추가적인 방어층을 제공하며, 향후 개선 사항이 출시될 때 지속적인 보호를 보장합니다.”
Cybersecurity and Infrastructure Security Agency(CISA)도 이 취약점을 야생에서 악용된 보안 결함 목록에 추가했으며, 5월 15일에 이를 발표하고 미국 정부 기관에 5월 29일까지 두 주 내에 서버를 패치하도록 명령했습니다.
지난 5년간 CISA는 Microsoft Exchange Server 취약점 20건을 악용된 보안 결함 목록에 추가했으며, 그 중 14건은 랜섬웨어 조직에 의해 악용되었습니다.
10월에 Exchange 2016 및 2019가 지원 종료에 도달한 지 몇 주 후, CISA와 National Security Agency(NSA)도 Exchange 서버를 공격으로부터 방어하기 위한 보안 가이드를 발표했습니다.
보안 팀은 성공적인 공격의 54%를 기록하고, 그 중 14%만을 경보로 감지합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는 방법을 보여줍니다.