[KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-07-20)

내용 요약

CISA는 Microsoft SharePoint Server 온프레미스에서 발견된, 인증되지 않은 공격자가 네트워크를 통해 코드를 실행할 수 있도록 하는 취약점(CVE-2025-53770)에 대한 권고를 발표했습니다. SharePoint 서버에서 AMSI 통합 구성 및 Defender AV 배포를 권장하며, AMSI 활성화가 불가능한 경우 공식적인 완화 조치가 제공될 때까지 영향을 받는 공개 제품을 인터넷 서비스에서 분리할 것을 권고하고 있습니다. 완화 조치가 제공되면 CISA 및 공급업체 지침에 따라 적용해야 합니다. 클라우드 서비스의 경우 BOD 22-01 지침을 따르거나 완화 조치를 사용할 수 없는 경우 제품 사용을 중단해야 합니다.

핵심 포인트

• Microsoft SharePoint Server의 심각한 취약점(CVE-2025-53770) 발견: 인증되지 않은 공격자의 코드 실행 가능성
• CISA의 긴급 권고: AMSI 및 Defender AV 배포, 혹은 인터넷 서비스 분리
• 완화 조치 적용의 중요성: CISA 및 공급업체 지침 준수
• 클라우드 서비스의 경우 BOD 22-01 지침 준수 또는 제품 사용 중단

기술 세부 내용

1️⃣ AMSI (Antimalware Scan Interface)

• 윈도우 10에 도입된 보안 기능으로, 애플리케이션이 스크립트나 다른 코드를 실행하기 전에 안티바이러스 프로그램에서 검사할 수 있도록 인터페이스를 제공합니다. ️
• 악성 스크립트, 매크로, 다운로드된 파일 등 다양한 위협으로부터 시스템을 보호하는데 중요한 역할을 합니다.
• SharePoint와 통합하여 악성코드가 SharePoint 환경에서 실행되기 전에 탐지하고 차단할 수 있습니다.
• AMSI Integration은 SharePoint 서버에서 AMSI를 활성화하여 실시간으로 악성 코드를 탐지하고 차단하는 것을 의미합니다.

2️⃣ Defender Antivirus (Defender AV)

• Microsoft에서 제공하는 기본 안티바이러스 솔루션입니다. ️
• 실시간 보호, 클라우드 기반 보호, 행동 분석 등 다양한 기능을 통해 악성 소프트웨어, 스파이웨어, 랜섬웨어 등으로부터 시스템을 보호합니다.
• SharePoint 서버에 Defender AV를 배포하면 SharePoint 환경에서 발생할 수 있는 악성코드 감염으로부터 시스템을 보호할 수 있습니다.

3️⃣ CVE-2025-53770 (Microsoft SharePoint Deserialization of Untrusted Data Vulnerability)

• Microsoft SharePoint Server에서 발견된 취약점입니다.
• "Untrusted Data Deserialization"는 신뢰할 수 없는 외부 데이터를 역직렬화하는 과정에서 발생하는 취약점 유형입니다. 외부에서 입력된 악의적인 데이터가 시스템에서 코드로 실행될 수 있는 위험이 있습니다.
• 공격자는 이 취약점을 악용하여 인증 없이 SharePoint 서버에서 임의 코드를 실행할 수 있습니다. 이를 통해 서버를 제어하거나 데이터를 유출하는 등 심각한 피해를 입힐 수 있습니다.
• 이번 취약점은 온프레미스(On-premises) 환경의 SharePoint Server에 영향을 미칩니다.

4️⃣ BOD 22-01

• 미국 연방 정부 기관을 위한 사이버 보안 지침입니다.
• 클라우드 서비스 제공 업체가 연방 정부 기관에 제공해야 하는 보안 요구사항을 명시하고 있습니다.
• 이 지침은 연방 정부 기관의 데이터와 시스템을 보호하기 위해 마련되었습니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6533