온프레미스 Microsoft Exchange Server, CVE‑2026‑42897이 조작 이메일로 악용됨
출처: The Hacker News
Ravie Lakshmanan2026년 5월 15일 Microsoft / 취약점
Microsoft는 온프레미스 Exchange Server 버전에 영향을 미치는 새로운 보안 취약점이 실제 공격에 활용되고 있다고 발표했습니다.
해당 취약점은 CVE‑2026‑42897(CVSS 점수: 8.1)으로, 교차 사이트 스크립팅(XSS) 결함에서 비롯된 스푸핑 버그로 설명됩니다. 익명 연구원이 이 문제를 발견하고 보고한 것으로 알려졌습니다.
“Microsoft Exchange Server에서 웹 페이지 생성 중 입력을 적절히 중화하지 못하는(‘교차 사이트 스크립팅’) 결함으로 인해 권한이 없는 공격자가 네트워크 상에서 스푸핑을 수행할 수 있습니다.”라고 기술된 목요일 보안 권고문에 Microsoft가 밝혔습니다(출처).
Microsoft는 이 취약점에 “Exploitation Detected”(공격 탐지) 등급을 부여했으며, 공격자는 사용자를 대상으로 조작된 이메일을 보내어 Outlook Web Access에서 열리게 할 경우, 특정 상호작용 조건을 만족하면 웹 브라우저 컨텍스트에서 임의의 JavaScript 코드가 실행될 수 있다고 설명했습니다.
Redmond는 또한 영구적인 패치를 준비하는 동안 Exchange Emergency Mitigation Service를 통해 임시 완화 조치를 제공하고 있다고 밝혔습니다(설명서).
Exchange Emergency Mitigation Service는 URL 재작성 구성을 통해 자동으로 완화를 적용하며 기본적으로 활성화됩니다. 비활성화된 경우, 사용자는 Windows 서비스를 켜도록 권고됩니다.
Microsoft에 따르면 Exchange Online은 이번 취약점의 영향을 받지 않습니다. 영향을 받는 온프레미스 Exchange Server 버전은 다음과 같습니다.
- Exchange Server 2016 (모든 업데이트 수준)
- Exchange Server 2019 (모든 업데이트 수준)
- Exchange Server Subscription Edition (SE) (모든 업데이트 수준)
공기 차단(air‑gap) 환경 등으로 Exchange Emergency Mitigation Service를 사용할 수 없는 경우, Microsoft는 다음과 같은 절차를 제시했습니다.
aka[.]ms/UnifiedEOMT에서 최신 버전의 Exchange On‑Premises Mitigation Tool (EOMT) 을 다운로드합니다.
완화 스크립트를 관리자 권한으로 실행된 Exchange Management Shell(EMS)에서 실행하여 서버별 또는 전체 서버에 적용합니다.
- 단일 서버:
.\EOMT.ps1 -CVE "CVE-2026-42897" - 전체 서버:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
Microsoft는 또한 “Mitigation invalid for this exchange version”(이 Exchange 버전에서는 완화가 유효하지 않음)이라는 메시지가 설명란에 표시되는 알려진 이슈가 존재한다는 점을 인지하고 있다고 밝혔습니다. “이 문제는 UI상의 오류이며, 상태가 ‘Applied’(적용됨)으로 표시되면 완화는 정상적으로 적용됩니다.”라고 Exchange 팀이 설명했으며, “해결 방안을 조사 중”이라고 덧붙였습니다(출처).
현재 이 취약점이 어떻게 악용되고 있는지, 공격자를 누가 수행했는지, 공격 규모는 어느 정도인지에 대한 구체적인 정보는 공개되지 않았습니다. 또한 어떤 대상이 공격받았는지, 성공적인 공격 사례가 있었는지도 확인되지 않았습니다. 따라서 당분간은 Microsoft가 권고한 완화 조치를 적용하는 것이 권장됩니다.
이 기사 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn에서 팔로우해 주세요.