Microsoft Power Pages 권한 상승 취약점 및 Bing 원격 코드 실행 취약점 보안 업데이트

Microsoft Patches Actively Exploited Power Pages Privilege Escalation Vulnerability

 

• 개요
  • Microsoft는 Power Pages 권한 상승 취약점(CVE-2025-24989) 및 Bing 원격 코드 실행 취약점(CVE-2025-21355)에 대한 보안 업데이트 발표
  • CVE-2025-24989는 실제 공격에 악용되고 있으며, CISA는 이를 Known Exploited Vulnerabilities(KEV) 목록에 추가
  • 두 취약점 모두 네트워크를 통해 악용될 수 있으며, 긴급 패치 적용 권장
• 취약점 상세
  • CVE-2025-21355 – Microsoft Bing 원격 코드 실행 취약점
    • CVSS 점수: 8.6 (치명적)
    • 원인: 중요한 기능에 대한 인증 누락
    • 영향: 공격자가 인증 없이 네트워크를 통해 악성 코드를 실행할 수 있음
    • Microsoft는 서비스 측에서 이미 취약점을 완화했으며 추가 사용자 조치는 필요 없음
  • CVE-2025-24989 – Microsoft Power Pages 권한 상승 취약점
    • CVSS 점수: 8.2 (치명적)
    • Power Pages는 보안 비즈니스 웹사이트 구축을 위한 저코드 플랫폼
    • 원인: 접근 제어 미흡으로 인한 사용자 등록 제어 우회
    • 영향: 공격자가 네트워크를 통해 권한 상승 및 사용자 등록 제한 우회 가능
    • Microsoft 내부 직원이 발견했으며, 실제 공격에 악용 중(Exploitation Detected)으로 확인
    • 피해 고객에게 알림 및 취약점 점검 및 정리 지침 제공
• CISA 및 산업 대응
  • CVE-2025-24989, CISA KEV 목록 추가
    • 미국 연방 민간 행정 기관(FCEB)은 2025년 3월 14일까지 패치 적용 의무화
    • 연방 및 민간 조직에 빠른 대응 및 취약 시스템 점검 권장
  • Microsoft 대응
    • 취약점 완화 및 패치 배포 완료
    • 영향을 받은 고객은 통보받았으며, 별도 통보를 받지 않았다면 해당되지 않음
    • 사용자 대상 사이트 점검 및 악성 활동 탐지 방법 제공
• 공격 시나리오 및 위험성
  • Bing 취약점 활용 시나리오
    • 인증 없이 원격에서 악성 스크립트 실행
    • 백엔드 시스템 접근 및 민감 정보 유출 가능
  • Power Pages 취약점 악용 시나리오
    • 웹사이트 사용자 등록 과정 우회로 비인가 계정 생성
    • 높은 권한 획득 후 추가 공격 (데이터 변조, 권한 확대 등)
• 보안 권고
  • 패치 적용
    • Power Pages 사용자: 즉시 최신 보안 업데이트 적용
    • Bing 서비스 사용자: 서비스 측에서 완화 조치 완료
  • 시스템 점검 및 모니터링
    • 최근 사용자 등록 로그 및 권한 변경 내역 검토
    • 의심스러운 네트워크 트래픽 및 사용자 활동 탐지 강화
  • 예방적 보안 강화
    • 접근 제어 정책 검토 및 강화
    • 사용자 등록 및 권한 관리 절차 강화
    • 취약점 관리 시스템을 통한 지속적 업데이트 확인
• 결론
  • CVE-2025-24989는 실제 공격에 악용되고 있어 즉각적인 패치와 취약 시스템 점검 필요
  • 인증 우회 및 권한 상승 취약점은 공격자에게 조직 내 중요한 자산 접근 기회를 제공하므로 빠른 대응이 중요
  • 조직은 취약 시스템 파악 및 내부 보안 정책을 검토하여 유사 공격 방지를 위한 지속적인 보안 강화 필요