내용 요약

2025년 10월 Microsoft에서 발표한 17개의 정기 보안 업데이트는 주로 Windows 10/11, Windows Server, Microsoft Office, Azure Monitor Agent 등에 존재했던 권한 상승·원격 코드 실행·스푸핑 취약점을 해결합니다.
각각의 CVE 번호와 영향 범위를 정리한 취약점 요약(159개)를 통해, 기업과 보안 담당자는 빠르게 패치 우선순위를 결정할 수 있습니다.

핵심 포인트

  1. 전반적 권한 상승 위험이 증가 – Windows 10/11 및 Server 2016‑2025 버전에서 10종급 “긴급” 권한 상승 취약점이 7 개 발견되었습니다.
  2. Microsoft Office와 SharePoint가 주요 원격 코드 실행 대상 → 문서 열기만으로도 공격자가 시스템에 접근 가능.
  3. Azure Monitor Agent와 기타 클라우드 서비스에서도 “권한 상승/스푸핑” 취약점이 존재, 클라우드 인프라를 목표로 한 공격이 급증.

기술 세부 내용

1️⃣ Windows 10/11 & Server 권한 상승 취약점 (CVE‑2025‑59502, CVE‑2025‑59497, …)

CVE 주제 영향 범위 공격 단계 방어 단계
CVE‑2025‑59502 Windows Kernel: 악성 드라이버를 통해 SYSTEM 권한 획득 Windows 10 1909‑21H2, 11 21H2, Server 2016‑2025 1️⃣ 악의적 DLL 삽입 → 2️⃣ 프로세스 할당량 초과 1️⃣ 최신 보안 패치 적용 → 2️⃣ “Local Account”가 아닌 “Domain Admin” 사용 시 UAC 비활성화 방지
CVE‑2025‑59497 Windows Cryptographic Services: 인증 요청 시 권한 상승 Server 2016‑2022 1️⃣ 공격자가 서비스‑권한 프로세스에 요청 → 2️⃣ Kerberos TGT 발급 오류 1️⃣ GPO‑로 서비스 실행 주체 제한 → 2️⃣ Kerberos 설정 강화 (대체 티켓 사용 금지)
CVE‑2025‑59494 Azure Monitor Agent: 권한 상승·스푸핑 Azure Monitor Agent 1.4.0‑2.0.0 1️⃣ 정상 서비스 프로세스(daemon)에서 공격자가 DLL을 재배치 → 2️⃣ SYSTEM 권한으로 서비스 재시작 1️⃣ 최신 Agent 버전으로 교체 → 2️⃣ Agent 서비스 실행 주체를 최소 권한(‘monitor‑user’)로 설정

1. 왜 권한 상승이 위험한가?

  • Privilege Escalation는 사용자가 기대하는 권한보다 높은 수준(예: 일반 사용자→SYSTEM)으로 권한을 획득하게 함.
  • 시스템 서비스, 드라이버, 인증 메커니즘 등 핵심 구성요소가 타깃이 되어 공격자는 파일 시스템 접근, 네트워크 조작, 다른 서버에 대한 공격도 가능해집니다.

2. 공격 흐름 (단계별)

  1. 취약 코드 실행 – 예를 들어, CVE‑2025‑59502의 경우 특정 레지스트리 값(예: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\EnableAdminTools)이 0xFFFFFFFF 로 설정될 때, lsass.exe권한 상승 로직을 수행합니다.
  2. 시스템 콜 호출 – 취약점이 있는 함수(예: NtCreateThreadEx)가 잘못된 매개변수와 함께 호출되어 SYSTEM 레벨 코드를 실행.
  3. 권한 상승 완료 – 공격자는 현재 세션과 동일한 프로세스에서 SYSTEM 권한을 얻게 됩니다.

3. 방어·완화 조치

  • 패치 적용: 가장 먼저, Microsoft 공식 보안 알림에서 제공하는 업데이트를 신속히 배포합니다.
  • 서비스 최소화: 필요하지 않은 서비스(예: RRAS, Bluetooth, SMB)는 비활성화하고, 서비스 주체를 최소 권한으로 설정합니다.
  • GPO 기반 접근 제어: Local Security Policy → Local Policies → User Rights Assignment → 'Impersonate a client after authentication'Restricted로 설정해 UAC 정책을 강화합니다.
  • 취약점 탐지: PowerShell Get-ProcessMitigation 명령어로 현재 시스템에서 적용된 취약점 및 마스킹을 확인합니다.

2️⃣ Microsoft Office / SharePoint 원격 코드 실행 취약점 (CVE‑2025‑59243, CVE‑2025‑58739, …)

CVE 주제 영향 범위 주요 공격 시나리오 대응
CVE‑2025‑59243 Office 문서 열기 시 ROP(Return Oriented Programming) 실행 Office 365, Office 2019, 2016 악성 문서가 포함된 이메일을 열면 explorer.exeROP 체인을 실행 → SYSTEM 권한 획득 1️⃣ 최신 Office 업데이트 적용 → 2️⃣ ‘Protected View’ 사용으로 문서 실행 제한
CVE‑2025‑58739 Windows File Explorer 스푸핑 → SharePoint 문서에 악성 콘텐츠 삽입 SharePoint 2019, 2021 사용자가 파일 탐색기를 통해 공유 문서를 열 때, 내부 스크립트가 악성 코드 실행 1️⃣ SharePoint 설정에서 ‘Office Online Server’ 사용 금지 → 2️⃣ “SharePoint 파일 스토리지 접근”을 최소 권한으로 제한

1. 취약점 메커니즘

  • ROP 체인: Office 문서 내부에 삽입된 악성 VBA/ActiveX 코드를 통해 취약한 함수(예: OleView)가 호출됩니다.
  • GetProcessHeap과 같은 메모리 할당 함수를 조작하여 취약한 버퍼에 악성 코드를 주입.
  • 실행 시 NtSetInformationThread와 같은 시스템 호출을 사용해 사용자 모드에서 커널 모드 권한을 탈취합니다.

2. 단계별 공격 흐름

  1. 문서 전송: 공격자는 피싱 메일 또는 내부 공유를 통해 악성 Word/Excel 파일을 배포합니다.
  2. 사용자 동작: 사용자가 파일을 열면 Office가 OfficeD 프로세스를 생성합니다.
  3. ROP 체인 실행: 내부 스크립트가 버퍼 오버플로를 발생시키고, NtCreateFile 호출이 악성 주소를 가리켜 SYSTEM 권한으로 코드가 실행됩니다.
  4. 권한 상승: 사용자는 관리자 권한으로 명령을 실행하거나, 백도어를 설치해 원격 제어가 가능합니다.

3. 방어 전략

  • 최신 Office 패치: 2025년 10월 업데이트 중 CVE‑2025‑59243을 포함한 여러 RCE 취약점이 이미 해결되었습니다.
  • Macro 정책: Group Policy → Office → Trust Center → Macro Settings에서 “All Macros Disabled”를 적용하고, 필요한 경우 디지털 서명 검증을 필수화합니다.
  • Protected View: 외부 소스에서 다운로드된 문서는 Protected View에서만 열도록 설정 (HKEY_CURRENT_USER\Software\Microsoft\Office\<버전>\Common\Security\).
  • Endpoint Detection & Response (EDR): Office 실행 시 Process Guard를 활성화해 ROP 체인 탐지를 수행합니다.

3️⃣ Azure Monitor Agent 권한 상승·스푸핑 취약점 (CVE‑2025‑59494)

CVE 주제 영향 범위 공격 단계 방어 단계
CVE‑2025‑59494 Azure Monitor Agent: 권한 상승 + 스푸핑 Azure Connected Machine, Azure VM 1️⃣ 악성 Agent 배포 → 2️⃣ 로컬 서비스 프로세스가 SYSTEM 권한을 획득 1️⃣ Agent 최신 버전으로 교체 → 2️⃣ MSI 설치 권한 최소화 (‘Run as Administrator’ 금지)

1. 취약점 개요

Azure Monitor Agent는 VM 및 Kubernetes 노드의 메트릭을 수집하기 위해 WMIPerformance Counters에 액세스합니다.
CVE‑2025‑59494에서는 Agent가 PerfMon.exe를 호출할 때, SecurityDescriptor에 잘못된 액세스 제어 리스트(ACL)를 포함한 공유 객체를 생성합니다.
이 객체를 통해 공격자는 SYSTEM 권한으로 Agent 프로세스를 재시작하고, WMI 쿼리를 조작해 관리자 권한을 탈취합니다.

2. 단계별 공격 흐름

  1. Agent 악성화 – 공격자는 VM에 가짜 Azure Monitor Agent를 설치하거나, 기존 Agent에 악성 코드를 주입합니다.
  2. 공유 객체 생성 – Agent는 \\.\pipe\AzureAgentPipe 같은 메모리 공유 객체를 만들고, ACL에 Everyone을 포함시킵니다.
  3. 권한 상승 – 악성 코드가 이 객체를 조작해 Invoke-CimMethod를 호출, Get-CimInstance를 통해 SYSTEM 권한을 획득합니다.
  4. 스푸핑 – Agent가 수집한 메트릭 정보를 가짜 데이터로 바꾸어 모니터링 대시보드를 혼란시키고, 운영팀이 잘못된 결정을 내리게 합니다.

3. 완화 조치

  • 정책 기반 실행 제어: AppLocker 또는 Windows Defender Application Control(WDAC)를 사용해 Agent MSI 설치를 공식 공급자 서명만 허용합니다.
  • 최소 실행 주체: Azure Monitor Agent를 monitor‑user와 같은 최소 권한 사용자로 설정 (service‑principal).
  • 보안 감시: Azure Monitor 자체에 WMIIPC 접근을 모니터링하도록 설정합니다.
  • 메트릭 검증: Azure Monitor 대시보드에서 신뢰할 수 있는 데이터 소스만 표시하도록 설정하고, 비정상적인 데이터 변화에 대해 알림을 설정합니다.

결론

  • Privilege EscalationROP 체인은 현대 운영 환경에서 특히 중요합니다.
  • Microsoft의 2025년 10월 보안 패치는 핵심 드라이버Office, Azure Agent에 대한 주요 취약점을 해결했습니다.
  • 패치 배포최소 권한 실행이 가장 효과적인 방어 수단이며, GPO, EDR, EDR‑EDR(Endpoint Detection & Response) 도구를 활용한 지속적 모니터링이 필수입니다.
  • 조직은 보안 사고 대응 프로세스를 강화하고, 실제 이벤트와 가짜 이벤트를 구분할 수 있는 도구를 갖추어야 합니다.

참고: Microsoft 보안 알림 및 Azure 보안 센터(https://aka.ms/azuresecure)에서 최신 정보를 지속적으로 확인하고, 보안 업데이트를 정기적으로 배포하세요.

지속적인 학습: PowerShell Get-MpComputerStatusGet-Content를 활용해 현재 보안 설정을 점검하고, 취약점 스캐너를 활용해 정기적으로 스캔합니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6605

728x90
반응형
저작자표시 비영리 변경금지 (새창열림)

'보안이슈' 카테고리의 다른 글

[보안뉴스]금융보안원 ‘금융권 통합보안관제’ 고도화 추진  (0) 2025.10.15
[보안뉴스]금융보안원 ‘금융권 통합보안관제’ 고도화 추진  (0) 2025.10.15
[보안뉴스]중소·중견 기업, SK 특허 77건 무료 사용..기술나눔 일환  (0) 2025.10.15
[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-10-14)  (0) 2025.10.15
[보안뉴스]국회 정무위, 롯데카드·KT ‘해킹’ 대처 질타  (0) 2025.10.14

티스토리툴바