중요 사이버 보안 경고: 온프레미스 SharePoint 서버를 표적으로 삼는 악용 사례
지난 주말, 여러 사이버 보안 기관에서 온프레미스 SharePoint Server 환경을 특별히 노리는 일련의 사이버 공격 사례를 공개했습니다.이 공격은 아직 해결되지 않은 취약점을 악용합니다.특히, ToolShell로 알려진 CVE-2025-53770 취약점은 SharePoint 서버에 대한 무단 접근을 허용합니다.
Microsoft의 활성 위협에 대한 대응
Microsoft는 이러한 활성 악용 사례를 인지하고 있으며, 7월 보안 업데이트에 부분적인 완화 조치가 구현되었음을 확인했습니다.중요한 점은 이러한 취약점이 온프레미스 SharePoint Server 설치에만 영향을 미치며, Microsoft 365를 통해 SharePoint Online을 사용하는 고객은 영향을 받지 않는다는 것입니다.
보안 업데이트에 대한 액세스
조직에서는 다음 링크를 통해 자사 시스템에 해당하는 7월 보안 업데이트를 받을 수 있습니다.
권장되는 완화 전략
포괄적인 핫픽스가 진행 중이지만, 사용자는 다음과 같은 예방 조치를 취하는 것이 좋습니다.
- 지원되는 온-프레미스 SharePoint Server 버전을 활용하세요.
- 2025년 7월 보안 업데이트를 중심으로 사용 가능한 모든 보안 업데이트를 설치하세요.
- Microsoft Defender Antivirus와 같은 호환 가능한 바이러스 백신 솔루션이 있는지 확인하고 Antimalware Scan Interface(AMSI)를 활성화하고 올바르게 구성하세요.
- Endpoint Protection을 위해 Microsoft Defender 또는 이와 비슷한 엔드포인트 위협 탐지 솔루션을 구현합니다.
- SharePoint Server의 ASP. NET 머신 키를 정기적으로 순환합니다.
탐지 및 위협 식별
Microsoft Defender Antivirus는 서버가 이 보안 결함의 영향을 받았는지 식별하는 기능을 갖추고 있습니다.영향을 받은 시스템은 다음 탐지 이름으로 표시될 수 있습니다.
- Exploit:Script/SuspSignoutReq. A
- 트로이 목마:Win32/HijackSharePointServer. A
연구 결과 및 긴급 행동 촉구
사이버 보안 연구 회사 Eye는 “저희의 분석에는 전 세계 8, 000개가 넘는 SharePoint 서버를 스캔하는 작업이 포함되었으며, 특히 7월 18일 오후 6시(UTC)와 7월 19일 오전 7시 30분(UTC)에 활성 침해 사례가 여러 건 발견되었습니다.”라고 밝혔습니다.
이 취약점의 심각성을 감안할 때, 온프레미스 SharePoint의 모든 관리자는 최신 보안 업데이트를 구현하고 권장되는 완화 전략을 지체 없이 엄격히 준수하는 것이 필수적입니다.
답글 남기기