CVE-2025-21298, Microsoft Windows Zero-Click 취약점 패치 분석

Microsoft Patch Zero-Click Windows Vulnerability

Microsoft Patch Zero-Click Windows Vulnerability

 

• 주요 내용
  • 마이크로소프트는 CVE-2025-21298로 식별된 치명적인 Zero-Click 원격 코드 실행(RCE) 취약점을 Windows에서 패치함
  • CVSS 점수 9.8로 평가되며, 사용자의 조작 없이 이메일 미리보기 또는 문서 열기만으로 악성 코드가 실행될 수 있음
  • 해당 취약점은 ole32.dll 내 UtOlePresStmToContentsStm 함수의 이중 메모리 해제(Double-Free) 오류에서 발생함
• 취약점 세부 분석
  • Outlook 또는 Word가 OLE 객체가 삽입된 콘텐츠를 처리할 때, ole32.dll은 메모리 내에 CONTENTS 스트림을 할당함
  • 첫 번째 메모리 해제 후 포인터가 null 처리되지 않아 해제된 메모리를 가리키는 Dangling Pointer가 발생
  • 이후 UtReadOlePresStmHeader 함수 실패 시, 정리 루틴에서 동일 메모리를 다시 해제하며 힙 메모리 구조가 손상됨
  • 이로 인해 공격자는 권한 상승 및 악성 코드 실행이 가능해짐
• 공격 벡터 및 영향
  • 공격자는 RTF 문서 또는 이메일에 포함된 OLE 객체를 통해 취약점을 원격으로 유발 가능
  • Outlook 이메일 미리보기 또는 Word 문서 열기만으로도 악용 가능하여 Zero-Click 공격이 현실화됨
  • 해당 취약점은 Outlook 자체가 아닌 Windows OLE 컴포넌트에서 발생하며, 시스템 전반에 걸쳐 영향 가능
  • Outlook과 Word는 종종 관리자 권한으로 실행되기 때문에 피해 범위가 광범위할 수 있음
• 공개된 악용 사례 및 관찰
  • GitHub에서 RTF 파일 기반 PoC(개념 증명) 코드가 공개됨
  • WinDbg 등 디버깅 도구를 통해 악성 파일 처리 시 힙 메모리 손상 현상을 확인 가능
  • Censys 자료에 따르면, 약 48만 개 이상의 Outlook Web 및 Exchange 서버가 노출 상태이나 직접 취약한 구성 요소는 아님
• 보안 권고
  • 마이크로소프트의 3월 정기 보안 업데이트를 즉시 설치하여 해당 취약점에 대한 방어 필요
  • 이메일 및 문서 기반 공격 벡터에 대한 첨부 파일 필터링 및 이메일 보안 솔루션 강화 필요
  • Outlook 또는 Word에서 OLE 객체 자동 실행을 제한하거나, 미리보기 기능 비활성화를 통한 사전 방어 가능
  • 내부 사용자를 대상으로 한 보안 인식 교육 강화 및 보안 솔루션 탐지 룰 업데이트 필요
• 결론
  • CVE-2025-21298은 사용자의 개입 없이도 악용 가능한 Zero-Click 메모리 손상 기반 RCE 취약점으로, 조기 패치 적용이 무엇보다 중요
  • Outlook 및 Word의 광범위한 기업 환경 내 사용을 고려할 때, 패치 지연 시 APT 공격자 및 랜섬웨어 그룹의 우선 타깃이 될 수 있음
  • 공격 방식은 메모리 할당 관리 오류로 인해 비교적 빠르게 자동화 및 무기화 가능하므로, 조직 보안팀의 선제적 대응 체계 구축 필요