software

제로데이 SharePoint Server 스푸핑 – 부적절한 입력 검증

발행: (2026년 4월 16일 PM 07:57 GMT+9)
7 분 소요
원문: Dev.to

Source: Dev.to

소개

요약

이 중간 심각도 이슈는 네트워크 공격 벡터, 낮은 복잡도, 권한이나 사용자 상호 작용이 필요 없는 CVSS 6.5 점수를 가지고 있습니다. 핵심 문제는 SharePoint가 신뢰할 수 있는 리소스를 생성하거나 표시하는 데 사용되는 특정 입력을 처리하고 검증하는 방식에 있으며, 이를 통해 공격자는 정당한 페이지, 문서 또는 사이트 요소를 가장하는 요청을 만들 수 있습니다. 이 취약점은 실제로 악용되고 있어 CISA가 알려진 악용 취약점 카탈로그에 추가했습니다.

2026년 4월 14일에 출시된 패치는 지원되는 모든 버전에서 검증 격차를 해소합니다. 노출된 SharePoint 인스턴스를 운영하는 조직은 정보 유출 및 무결성 위반 위험에 즉시 노출되므로, 신속한 패치 적용 및 모니터링이 필수적입니다.

기술 분석: 취약점 작동 방식

취약점은 페이지, 목록, 문서와 같은 SharePoint 리소스를 렌더링하는 입력‑처리 계층에서 발생합니다. HTTP 요청에 전달되는 매개변수에 대한 충분하지 않은 정화 및 검증으로 인해 공격자는 콘텐츠 진위성을 보장하기 위한 검사를 우회하는 잘못된 데이터를 제공할 수 있습니다. 이를 통해 신뢰된 SharePoint 구성 요소에서 온 것처럼 보이는 위조 응답을 만들 수 있습니다.

입력‑검증 우회를 보여주는 샘플 요청

GET /_layouts/15/start.aspx?SPHostUrl=https://sharepoint.example.com
    &ListId=%7Bspoofed-input%7D
    &ViewId=%7Bmalicious-view%7D
    HTTP/1.1
Host: vulnerable-sharepoint.example.com
User-Agent: Mozilla/5.0

취약한 버전에서는 매개변수가 반영되거나 생성된 출력에 사용되기 전에 충분하지 않은 검증을 거쳐 목록 보기, 문서 메타데이터 또는 인증 프롬프트를 위조할 수 있습니다. 이로 인해 가짜 로그인 양식이나 수정된 문서를 SharePoint 도메인 내에서 정당해 보이게 표시함으로써 피싱을 촉진할 수 있습니다.

관찰된 악용 패턴

활동적인 악용은 2026년 4월 패치 이전에 시작되었으며, 외부에 SharePoint를 노출하거나 VPN을 통해 노출한 조직을 대상으로 한 표적 캠페인이 진행되었습니다. 공격자는 자동화된 탐지를 사용해 취약한 인스턴스를 식별한 뒤, 재무 보고서, 내부 디렉터리 또는 자격 증명 프롬프트와 같은 고가치 리소스를 가장하는 정교한 요청을 전송합니다.

공개된 익스플로잇 코드는 아직 나오지 않았지만, 관찰된 활동은 파괴적인 행동보다 표시된 콘텐츠를 통한 데이터 유출에 초점을 맞춘 은밀한 형태로 진행됩니다. 캠페인은 위조된 콘텐츠를 활용해 후속 피싱을 수행하거나, 관리자가 악성 요소와 상호 작용하도록 유도해 지속성을 확보합니다.

탐지를 위한 샘플 네트워크 시그니처

# Example Snort/Suricata rule
alert http $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (
    msg:"SharePoint Server spoofing attempt - malformed ListId/ViewId";
    flow:to_server,established;
    content:"ListId=%7Bspoofed-input%7D";
    http_uri;
    classtype:attempted-user;
    sid:20260001;
    rev:1;
)

파일 및 로그 IOCs에는 매개변수 검증 실패를 언급하는 ULS 로그의 비정상적인 항목, SharePoint 웹 서비스로 향하는 단일 IP에서의 트래픽 급증, 그리고 렌더링된 콘텐츠와 저장된 콘텐츠 간의 불일치가 포함됩니다.

완화 권고사항

  • 2026년 4월 보안 업데이트를 즉시 적용:

    • SharePoint Server 2016 – KB5002861
    • SharePoint Server 2019 – KB5002854
    • SharePoint Server Subscription Edition – KB5002853

  • 방화벽이나 리버스 프록시를 통해 SharePoint 서버의 인터넷 노출을 제한하고, 신뢰된 네트워크에서만 접근을 허용합니다.

  • SharePoint 감사 로그를 활성화하고 요청 이상 징후를 검토합니다.

  • 레이아웃 및 리스트 엔드포인트의 매개변수를 검사하기 위해 WAF 규칙을 구현합니다.

  • 정기적인 취약점 스캔을 수행하고 SharePoint 사이트에 최소 권한 구성을 적용합니다.

Conclusion

CVE‑2026‑32201은 협업 플랫폼에서 입력 검증과 관련된 지속적인 문제를 보여주며, 겉보기에 중간 정도의 결함이 실제 운영에서 이미 목격된 실용적인 스푸핑 공격을 가능하게 합니다. 즉각적인 패치와 요청 패턴에 대한 강화된 모니터링이 온프레미스 SharePoint 환경에서 이와 유사한 문제에 대한 주요 방어 수단으로 남아 있습니다. 공개 이후에도 악용이 계속됨에 따라 조직은 정보 무결성과 기밀성을 보호하기 위해 노출된 인스턴스를 더욱 긴급하게 다루어야 합니다.

Sources

  • Cyber Threat Intelligence
  • CVE‑2026‑32201 details
  • AI in Cybersecurity
0 조회
#software #programming #community
원문 보기
Share:
Back to Blog

관련 글

더 보기 »