마이크로소프트, 쉐어포인트 원격 코드 실행 취약점 긴급 패치 실시

원격 코드 실행 및 스푸핑 취약점 긴급 패치

[보안뉴스 여이레 기자] 마이크로소프트가 최근 사이버 공격에 악용되고 있는 쉐어포인트(SharePoint)의 원격 코드 실행(RCE) 보안 취약점에 대한 긴급 보안 업데이트를 실시했다.

마이크로소프트 쉐어포인트 [자료:마이크로소프트]

이번 패치는 온프레미스(내부 구축형) 마이크로소프트 쉐어포인트 서버에서 발생하는 문제와 새로운 스푸핑 취약점을 함께 해결한다. 영향을 받는 버전은 온프레미스용 쉐어포인트 서버2016과 2019, 구독 에디션 등이며, 마이크로 365의 쉐어포인트 온라인은 영향을 받지 않는다.

패치로 해결된 주요 취약점인 CVE-2025-53770은 신뢰할 수 없는 데이터를 역직렬화(deserialization)하는 과정에서 원격으로 임의 코드가 실행될 수 있는 결함이다. 공통취약성평가시스템(CVSS) 점수가 9.8인 심각한 결함이다. 미국 사이버보안 및 인프라보안국(CISA)은 CVE-2025-53770 취약점을 ‘알려진 익스플로잇 취약점’(KEV) 목록에 등재하고, 연방 정부 기관에 21일까지 긴급 대응을 지시한 상태다.

또 다른 신규 취약점 CVE-2025-53771(CVSS 점수 6.3)은 경로 탐색 문제로, 권한이 있는 공격자가 네트워크에서 스푸핑 공격을 수행할 수 있다. 이 취약점은 익명의 연구자에 의해 발견돼 보고됐다.

마이크로소프트는 CVE-2025-53770과 CVE-2025-53771이 이전에 보고된 CVE-2025-49704, CVE-2025-49706 등 다른 취약점들과 묶여 ‘툴셸’(ToolShell) 공격 체인으로 원격 코드 실행을 유발할 수 있으며, 이 역시 오늘 패치 업데이트로 해결됐다고 설명했다.

이 취약점들은 이미 최소 54개 기관에 영향을 준 것으로 알려졌으며 은행, 대학, 정부 기관 등이 포함된다. 전 세계적으로 이미 85대 이상의 서버가 해킹된 것으로 확인됐다.

또 공격자들은 다단계 인증(MFA)과 싱글 사인온(SSO) 같은 인증 수단을 우회해 권한을 획득한 뒤 민감 정보를 탈취하고 지속적으로 유지되는 백도어를 심으며 암호화 키도 훔치는 것으로 밝혀졌다.

마이크로소프트는 빠른 업데이트 적용과 함께, AMSI를 활성화하고 디펜더 안티바이러스와 같은 적절한 솔루션을 병행해 사용할 것을 권고했다. 또 패치 적용 후 서버 내 ASP.NET 머신 키를 교체하고 IIS를 재시작하는 것이 필수적이라고 강조했다

다만 만약 인터넷에 노출된 온프레미스 쉐어포인트 서버가 있다면 이미 침해됐다고 가정해야 하며, 단순히 패치만으로는 완전한 위협 해소가 어렵다고 경고했다.

관리자는 시스템에 ‘C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx’ 파일이 있는지 확인해 감염 여부를 점검할 수 있다. 마이크로 365 디펜더 쿼리를 통해서도 점검 가능하다. 침해 흔적이 발견될 경우 즉시 서버를 오프라인으로 전환하고 추가 확산 여부를 조사해야 한다.

[여이레 기자(gore@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다