CVE-2025-21298 탐지: Microsoft Outlook의 치명적인 제로-클릭 OLE 취약성으로 인한 원격 코드 실행

Windows LDAP의 서비스 거부(DoS) 취약점인 CVE-2024-49113 으로 알려진 LDAPNightmare 공개 직후, Microsoft 제품에 영향을 미치는 또 다른 매우 심각한 취약점이 등장했습니다. 최근 패치된 Microsoft Outlook 취약점인 CVE-2025-21298은 공격자가 RCE 특수 제작된 이메일을 통해 Windows 장치에서 수행할 수 있도록 함으로써 상당한 이메일 보안 위험을 초래합니다.

SOC Prime의 무료 Sigma 규칙으로 CVE-2025-21298 공격 시도를 탐지하세요

2025년 1월 한 달 동안에만 2,560개의 취약점이 식별되었으며, 연초에는 특히 많은 수의 활성 악용 취약점으로 위험한 시기를 맞이했습니다. 주목할 만한 예로는 CVE-2024-49112, CVE-2024-55591가 있고, CVE-2024-49113. 

심각한 위협을 가하는 CVE-2025-21298는 원격 코드 실행(RCE)을 초래하는 9.8의 심각도를 가진 제로 클릭 결함으로서 공개되었으며 즉각적인 조치가 필요합니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위해 적시에 공격 시도를 탐지할 수 있는 무료 Sigma 규칙을 제공합니다.

MS Office 의심 파일 드롭 (파일 이벤트 경유)

이 규칙은 .rtf 파일이나 OLE 악용에 일반적으로 연관된 다른 의심스러운 파일 유형과 상호작용하는 시스템을 식별하는 데 도움을 주며, 특히 높은 위험 확장자를 처리하는 호스트의 패치에 중점을 둡니다 (예: .rtf, .dll, .exe). 이 탐지는 여러 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK의 Exploitation for Client Execution (T1203) 기법 및 피싱: 스피어피싱 첨부 파일 (T1566.001) 하위 기법과 연관되어 있습니다. 추가적으로, 이 규칙은 CTI 참조, 공격 타임라인 등 광범위한 메타데이터로 풍부하게 구성되어 있습니다.

취약점 공격 시도에 대한 더 관련성 있는 콘텐츠를 찾고자 하는 보안 전문가들은 CVE-2025-21298 태그와 함께 Threat Detection Marketplace에 추가된 새로운 규칙을 추적할 수 있습니다. 또한, 사이버 방어자들은 아래의 탐지 탐색 버튼을 눌러 프로액티브한 취약점 탐지를 목표로 한 전체 탐지 스택에 접근할 수 있습니다.

탐지 탐색

CVE-2025-21298 분석

CVE-2025-21298은 마이크로소프트의 최신 2025 패치 화요일 업데이트에서 해결된 심각한 제로 클릭 RCE 취약점으로, CVSS 점수에서 9.8로 평가되었습니다. 이 결함은 주로 첨부 파일이나 피싱 캠페인에 링크로 전송되어 피해자가 열도록 유도하는 악성 RTF 문서로 인해 발생할 수 있습니다.

이 취약점은 문서 및 개체의 삽입 및 연결을 가능하게 하는 기술인 Windows OLE에 존재합니다. Microsoft에 따르면 Microsoft에 따르면, 사용자가 Outlook에서 특수 제작된 이메일을 열거나 미리보기할 경우 악용이 일어날 수 있습니다. 공격자들은 악성 이메일을 보내 이 결함을 무기화하며, Outlook에서 이메일을 열거나 미리보기만 해도 타겟 시스템에서 RCE가 발생할 수 있습니다.

방어자들은 CVE-2025-21298을 낮은 공격 복잡도와 낮은 사용자 상호작용 요구로 인해 조직에 주요 위협으로 간주합니다. 성공적인 악용 이후, 이 취약점은 시스템 전체를 손상시킬 수 있으며, 공격자에게 임의 코드를 실행하고 악성 소프트웨어를 설치하며 데이터를 수정하거나 삭제하고 민감한 정보를 접근할 수 있도록 허용합니다.

잠재적인 CVE-2025-21298 완화 조치로 즉각 패치를 적용하는 것이 중요하며, 특히 Outlook 같은 이메일 클라이언트와 관련한 경우에 더욱 그렇습니다. 필요한 업데이트를 설치할 수 없는 조직을 위해, 방어자들은 미확인 출처의 RTF 파일을 일반 텍스트 형식으로 열도록 Microsoft에서 제공하는 해결책을 사용할 것을 권장합니다. 프로액티브한 취약점 탐지 및 새로운 사이버 위협에 대한 견고한 방어를 위해, 고급 위협 탐지, 자동화된 위협 사냥 및 정보 기반 탐지 엔지니어링을 위한 완전한 제품군을 사용하여 SOC Prime 플랫폼 에 의지하세요.