CVE-2025-62215: Windows 커널 제로데이 취약점에 대한 SOC 보고서

분석

CVE‑2025‑62215는 Microsoft가 2025년 11월 Patch Tuesday 릴리스에서 패치한 Windows 커널의 치명적인 경쟁 상태 취약점입니다. SOC Prime 이 결함은 낮은 권한의 로컬 액세스를 가진 공격자가 커널 메모리에서 ‘이중 해제(double-free)’ 상태를 악용하여 권한을 SYSTEM으로 상승시킬 수 있게 합니다. SOC Prime 활발히 악용되고 있으며 모든 지원 Windows OS 에디션(및 Windows 10의 ESU)에 영향을 미치기 때문에 조직은 시스템 전체가 손상될 실질적인 위험에 직면합니다.

조사

보안 연구원들은 이 취약점이 적절한 동기화 없이 여러 스레드가 동일한 커널 리소스에 액세스하여 트리거되는 커널 메모리 손상 시나리오 (‘이중 해제’)에서 비롯된 경쟁 상태로, 공격자가 실행 흐름을 탈취할 수 있게 한다고 발견했습니다. 초기 액세스는 있어야 하며(예: 피싱 또는 이전의 RCE를 통해), 그 후 이 익스플로잇은 권한 상승, 자격 증명 수집 및 측면 이동을 촉진하는 데 사용됩니다. 이 익스플로잇의 개념은 간단하지만 결과는 강력하여 이미 실제 사용 중인 것으로 표시되었다.

완화

조직은 CVE‑2025‑62215를 해결하는 Microsoft 패치를 즉시 적용해야 합니다. 또한, 최소 권한 사용자 액세스를 적용하고 불필요한 로컬 관리자 권한을 비활성화하며 비정상적인 로컬 권한 상승 동작을 모니터링하여 초기 발판의 위험을 줄이십시오. 수비수는 메모리 손상이나 커널 수준 서비스 계정에서 비정상적인 프로세스 생성 여부를 탐지하기 위한 엔드포인트 탐지 규칙을 배포해야 합니다. 결함의 본질이 커널 수준이기 때문에 강력한 패치 규율을 유지하고 레이어드 보안 제어(예: EDR, 커널 무결성 검사)를 사용하는 것이 중요합니다.

대응

이 취약점을 통해 시스템이 악용된 것으로 의심된다면, 잠재적으로 영향을 받을 수 있는 호스트를 격리하고, 최근 로컬 로그인과 권한 상승 이벤트를 검토하며, 토큰 가장이나 SYSTEM 수준의 프로세스 생성 징후를 찾아보십시오. 필요하다면 영향을 받은 기기를 재이미지 처리하고, 손상된 것으로 보이는 계정의 자격 증명을 변경하십시오. 사고 관련 사항을 보안 운영팀에 보고하고, 탐지/사냥 플레이북을 이 취약점의 익스플로잇 체인(초기 접근 → 로컬 익스플로잇 → 커널 권한 상승)을 포함하도록 업데이트하십시오. 마지막으로, 향후 패치 주기에는 설치 검증 및 재악용 시도 모니터링을 포함하도록 하십시오.