CVE-2025-53770 제로데이 취약점

Microsoft SharePoint Server의 심각한 보안 결함이 현재 진행 중인 대규모 사이버 공격 캠페인의 표적이 되었습니다. CVE-2025-53770으로 추적되며 CVSS 점수 9.8점을 받은 이 취약점은 제로데이로 분류되며, Microsoft의 2025년 7월 패치 화요일 업데이트에서 해결된 코드 삽입 및 원격 코드 실행 버그인 CVE-2025-49704(CVSS 8.8)와 밀접한 관련이 있습니다. 이 결함은 신뢰할 수 없는 데이터의 역직렬화에서 비롯되는데, 공격자는 이를 통해 적절한 권한 없이 원격으로 악성 코드를 실행할 수 있습니다.

활성 공격 및 영향을 받는 시스템

연구원들은 사이버 범죄자들이 온프레미스 SharePoint Server 인스턴스를 대상으로 이 취약점을 적극적으로 악용하고 있음을 확인했습니다. 중요한 것은 Microsoft 365의 SharePoint Online은 영향을 받지 않는다는 것입니다. 공격자는 SharePoint가 역직렬화 과정에서 신뢰할 수 없는 개체를 처리하는 방식을 악용하여 사용자 인증 전에 명령을 실행할 수 있도록 합니다. 시스템 내부에 침투하면 공격자는 훔친 컴퓨터 키를 사용하여 위조된 페이로드를 생성하여 측면 이동 및 지속적인 접근을 가능하게 합니다. 이러한 활동은 정상적인 SharePoint 트래픽을 모방할 수 있기 때문에 탐지 및 완화가 어렵습니다.

복잡한 익스플로잇 체인

증거에 따르면 CVE-2025-53770은 CVE-2025-49706(CVSS 점수 6.3점의 스푸핑 버그) 및 CVE-2025-49704를 포함한 다른 취약점과 함께 사용되어 ToolShell이라는 고급 익스플로잇 체인을 형성하는 것으로 보입니다. 공격자는 CVE-2025-49706을 이용하여 CVE-2025-49704를 익스플로잇하는 원격 코드 실행 페이로드를 배포합니다. HTTP 참조자로 '_layouts/SignOut.aspx'를 추가하면 CVE-2025-49706이 CVE-2025-53770으로 변환되어 더욱 간소화된 익스플로잇 프로세스가 가능해집니다.

이러한 공격은 일반적으로 PowerShell을 통해 전달되는 ASPX 페이로드를 사용하며, 서버의 MachineKey 구성(ValidationKey 및 DecryptionKey)을 훔치는 것을 목표로 합니다. 이러한 키는 공격자가 SharePoint에서 유효한 것으로 간주하는 악성 __VIEWSTATE 페이로드를 제작하여 모든 인증된 요청을 원격 코드 실행 기회로 전환할 수 있도록 하기 때문에 매우 중요합니다.

타협의 규모

지금까지 전 세계 85대 이상의 SharePoint 서버가 침해되어 다국적 기업과 정부 기관을 포함한 최소 29개 조직에 영향을 미쳤습니다. 공격자가 암호화 키를 확보하면 복구가 훨씬 더 복잡해집니다. 보안 패치를 적용하더라도, 키를 수동으로 교체하거나 재구성하지 않는 한 공격자는 여전히 키를 통해 접근 권한을 유지할 수 있습니다.

완화 조치

공식 패치가 제공될 때까지 Microsoft는 조직에 SharePoint에서 AMSI(Antimalware Scan Interface) 통합을 활성화할 것을 권고했습니다. AMSI를 활성화할 수 없는 고객의 경우, 취약한 SharePoint 서버를 인터넷에서 분리하는 것이 강력히 권장됩니다.

지속적인 악용 보고에 따라 Microsoft는 취약한 시스템을 보호하기 위해 CVE-2025-53770과 새로 발견된 결함인 CVE-2025-53771에 대한 패치를 출시했습니다.

CISA의 경고

미국 사이버보안 및 인프라 보안국(CISA)은 CVE-2025-53770의 활발한 악용을 확인하는 경보를 발표했습니다. 이 취약점을 통해 공격자는 네트워크를 통해 인증되지 않은 원격 코드 실행을 수행할 수 있으며, 이는 패치되지 않은 SharePoint 환경에 심각한 위협을 초래합니다.