ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 정보 단편 보고서
마이크로소프트 쉐어포인트 취약점 보고서: CVE-2025-53770
2025.08.04

✅ 보고서 제목: 마이크로소프트 쉐어포인트 취약점 보고서: CVE-2025-53770



✅ 보고서 요약:


- 2025년 7월 19일, Microsoft SharePoint 취약점인 CVE-2025-53770이 긴급하게 패치되었습니다.


- 해당 취약점은 on-premise SharePoint 제품의 다음 버전 미만 제품에서 취약한 것으로 밝혀졌습니다.
  - Microsoft SharePoint Server Subscription Edition 16.0.18526.20508 버전 미만
  - Microsoft SharePoint Server 2019 16.0.10417.20037 버전 미만


- 2025년 7월 19일, CVSSv3.1:9.8 CRITICAL 취약점으로 발표되었고, 패치가 진행되었습니다.


- 2025년 7월 18일, 전 세계의 온프레미스 (on-premise) 버전 SharePoint를 대상으로 지속적인 악용 시도가 발견되었습니다.



📌 취약점 발생 원인은 무엇인가요?


- CVE-2025-53770은 Microsoft SharePoint의 검증 부족으로 인한 원격 코드 실행 취약점입니다.


- 2025년 5월, Pwn2Own에서 CVE-2025-49704 및 CVE-2025-49706 취약점을 연계한 원격 코드 실행 체인이 시연되었습니다.
  - 각각 코드 삽입과 인증 우회 취약점이었으며, ToolShell이라는 이름으로 명명되었습니다.


- 취약점은 /_layouts/15/ToolPane.aspx 엔드포인트에서 발생하였으며, 해당 엔드포인트는 웹 속성을 편집하는 데 사용되는 UI를 제공하며, 인증된 사용자만 접근 가능합니다.


- 해당 엔드포인트에 POST 요청 시 Referer를 /_layouts/SignOut.aspx 로 설정하면 SharePoint의 인증 로직은 인증된 사용자가 로그아웃하는 과정에 있다고 생각하고 특정 검사를 건너뛰어 안전하지 않은 역직렬화를 수행합니다.


- 취약점들로 인해 인증되지 않은 공격자가 인증을 우회하고 삽입한 코드가 역직렬화되어 임의의 코드 실행이 가능합니다.


- 2025년 7월 9일 배포된 CVE-2025-49704/CVE-2025-49706을 해결하는 패치를 우회한 취약점이라는 정황이 확인되었습니다.


- Microsoft의 Security Advisory에서도 패치 우회와 관련된 정보를 확인할 수 있습니다.



📌 취약점을 악용한 공격 시나리오는 무엇인가요?


- 공격자는 7월 9일 CVE-2025-49704 및 CVE-2025-49706 취약점이 패치된 이후부터 취약점 식별 및 공격 코드 개발을 시작했을 것으로 추정됩니다.


- 패치 전/후 Diffing 기법 등을 통해 기존 취약한 위치와, 취약점 완화 패치의 우회 방법을 연구했을 것으로 추정됩니다.


- 패치된 코드를 우회한 공격자는 SharePoint 서버를 식별하고 공격을 수행합니다.


- 원격 코드 실행에 성공한 공격자는 내부 .NET 메서드를 호출하여 ValidationKey를 포함한 SharePoint 서버의 MachineKey 를 탈취합니다.


- 탈취한 키를 통해 유효한 __VIEWSTATE 페이로드를 생성하고 인증이 필요한 모든 SharePoint 요청에 대한 권한을 획득하여 원격 코드 실행을 달성합니다.



✅ 위협 탐지 권장 사항 및 조치 방안:


- 위협탐지 룰을 업데이트 하고, 지속적인 모니터링 및 최신 버전의 패치를 권장합니다.


- 보안 업데이트된 버전을 다운로드하여 설치를 진행할 것을 권장합니다.
  - Microsoft SharePoint Server Subscription Edition 16.0.18526.20508 버전 이상
  - Microsoft SharePoint Server 2019 16.0.10417.20037 버전 이상


- 패치가 불가능할 경우, 하단의 조치 방안에 따라 조치할 것을 권장합니다.
  - HTTP Referer가 /_layouts/SignOut.aspx이며, POST 요청의 대상 엔드포인트가 /_layouts/15/ToolPane.aspx 인 요청을 필터링합니다.
  - 공격 정황이 이미 확인된 경우, 노출되었을 수 있는 모든 자격 증명을 갱신합니다.
  - Miscrosoft가 제공하는 지침에 따라 조치할 것을 강력하게 권장합니다.



🧑‍💻 보고서 작성자: S2W TALON


👉 보고서 전문 문의하기: https://s2w.inc/ko/contact


*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.


뉴스 하이라이트
7월 4주차 위클리 다크웹
2025.07.30
이전 글
뉴스 하이라이트
7월 5주차 위클리 다크웹
2025.08.06
다음 글
목록