CVE-2026-21262: Microsoft의 3월 패치 화요일 릴리스에서 수정된 SQL Server 제로데이

2026년 초에는 Microsoft 제품에 영향을 미치는 제로데이 취약점의 물결이 몰려왔습니다. 여기에는 적극적으로 악용되는 Windows 데스크톱 창 관리자 결함(CVE-2026-20805), Microsoft Office 제로데이(CVE-2026-21509), 긴급 수정이 필요했던 Windows Notepad RCE 버그(CVE-2026-20841) 등이 포함됩니다. Microsoft의 3월 패치 화요일 릴리스는 방어자들을 다시 바쁘게 만들고 있으며, 이번에는 엔터프라이즈 환경을 위험에 빠뜨리는 공개된 SQL Server 권한 승격(EoP) 취약점인 CVE-2026-21262에 주목하고 있습니다.CVE-2026-21509)와 CVE-2026-20841입니다.

Microsoft는 CVE-2026-21262를 네트워크를 통한 권한 상승을 허용하는 부적절한 접근 제어 결함으로 설명합니다. 이 버그는 CVSS 점수가 8.8이며 3월 패치 화요일에 해결된 두 개의 공개된 제로데이 중 하나였습니다. 현재 활성 악용에 대한 확증적인 증거는 없지만, 공개 노출, 낮은 공격 복잡도, 핵심 데이터베이스 플랫폼 내에서의 권한 상승 가능성의 조합은 이를 단순한 패치로 간주하기 어렵게 만듭니다.

Microsoft 제품은 엔터프라이즈와 소비자 환경 전반에 폭넓게 사용되고 있기 때문에, 해당 제품의 취약점은 매우 치명적인 영향을 초래할 수 있습니다. BeyondTrust는 Microsoft가 2024년에 사상 최대인 1,360건의 취약점을 공개했으며, 그중에서도 권한 상승(Elevation of Privilege) 취약점이 주요 범주 중 하나였다고 보고했습니다. 이러한 추세는 2025년에도 이어져, Microsoft는 연간 1,129건의 취약점을 패치했으며, 2025년 12월 기준 EoP 문제는 전체 수정 사항의 50%를 차지했습니다. Google Threat Intelligence Group은 여기에 또 다른 맥락을 더합니다. 이 그룹은 2025년에 실제 공격에 악용된 제로데이 취약점 90건을 추적했으며, 엔터프라이즈 기술이 관찰된 악용 사례의 사상 최대인 48%를 차지했다는 사실을 밝혔습니다.

SOC Prime 플랫폼에 가입하세요 AI 기반 제품군으로 지원되는 세계 최대의 탐지 인텔리전스 데이터 세트에 액세스하여, SOC 팀이 위협 탐지부터 시뮬레이션까지 모든 것을 원활하게 처리할 수 있도록 지원합니다. 방어자들은 탐지 탐색.

탐지 탐색

버튼을 눌러 취약점 악용 활동에 대한 관련 탐지 스택을 탐색할 수 있습니다. MITRE ATT&CK® 프레임워크와 매핑되고, 여러 SIEM, EDR 및 데이터 레이크 플랫폼과 호환됩니다. 또한, 각 규칙은 참조, 공격 흐름, 감사 구성 등을 포함한 풍부한 메타데이터와 함께 제공됩니다. CTI 참조, 공격 흐름, 감사 구성 등이 포함됩니다.

사이버 방어자는 또한 Uncoder AI 를 사용하여 탐지 엔지니어링 루틴을 간소화할 수 있습니다. 원시 위협 보고서를 실행 가능한 행동 규칙으로 변환하고, 탐지 로직을 테스트하며, 공격 흐름을 맵핑하고, IOCs를 사냥 쿼리로 전환하거나, AI의 힘과 모든 단계의 깊은 사이버 보안 전문 지식을 활용하여 탐지 코드를 즉시 변환할 수 있습니다.

CVE-2026-21262 분석

2026년 3월 Microsoft 패치 화요일 업데이트에서는 공개적으로 알려진 2건의 제로데이를 포함해 80건이 넘는 취약점이 수정되었습니다. 이번 릴리스에서는 권한 상승 취약점이 가장 큰 비중을 차지했으며, 전체 목록에는 EoP 취약점 46건, RCE 취약점 18건, 정보 유출 취약점 10건, 서비스 거부 취약점 4건, 스푸핑 취약점 4건, 보안 기능 우회 취약점 2건이 포함되었습니다.

이 결함은 자체적으로 초기 접근을 제공하지 않습니다. 공격자는 여전히 유효한 자격 증명과 취약한 SQL Server 인스턴스에 대한 네트워크 도달 가능성이 필요합니다. 이 제한은 중요하지만, 이는 잘못된 신뢰감을 주어서는 안 됩니다. 많은 엔터프라이즈 환경에서 낮은 권한의 데이터베이스 계정은 애플리케이션, 통합 서비스, 자동화 도구, 레거시 작업에 걸쳐 확산되어 있어 사후 타협 악용이 현실적인 시나리오가 됩니다.

Microsoft의 3월 패치 화요일 릴리스에는 방어자가 계속 주시해야 할 다른 여러 취약점도 포함되어 있습니다. 두 번째로 공개적으로 알려진 제로데이는 .NET 서비스 거부 취약점인 (CVE-2026-26127)입니다. Microsoft는 또한 미리 보기 창을 통해 악용될 수 있는 주목할 만한 Office 원격 코드 실행 취약점 두 건(CVE-2026-26110, CVE-2026-26113)도 수정했습니다. 또 다른 중요한 이슈는 Excel 정보 유출 취약점인 CVE-2026-26144로, 연구자들은 이 취약점이 Copilot Agent 모드를 통해 데이터를 유출하는 데 악용될 가능성이 있다고 보고 있습니다.

CVE-2026-21262 완화

Microsoft의 자문에 따르면, SQL Server를 실행하는 조직은 먼저 정확한 제품 버전과 현재 빌드를 식별한 다음 인스턴스의 서비스 경로에 일치하는 3월 10일 보안 업데이트를 설치해야 합니다. 자문에 따르면, 조직은 먼저 정확한 제품 버전과 현재 빌드를 식별한 다음 인스턴스의 유지보수 경로와 일치하는 3월 10일 보안 업데이트를 설치해야 합니다.

특히, 공급자는 보안 수정만을 제공하는 GDR 경로와 보안 및 기능 수정을 모두 포함하는 CU 경로를 구별합니다. 인스턴스가 GDR 트랙을 따르고 있다면, 해당하는 GDR 패키지를 설치하십시오. 이미 CU 릴리스를 수신하고 있다면, 해당하는 CU 보안 업데이트를 설치하십시오. 또한 조직이 한 번은 GDR에서 CU로 변경할 수 있지만, 그 이후에는 CU에서 GDR로 되돌릴 수 없음을 Microsoft는 명시하고 있습니다.

영향을 받는 지원되는 분기와 해당 업데이트는 다음을 포함합니다:

• SQL Server 2016 SP3: KB5077474 (GDR)
• SQL Server 2017: KB5077471 (CU31) or KB5077472 (GDR)
• SQL Server 2019: KB5077469 (CU32) or KB5077470 (GDR)
• SQL Server 2022: KB5077464 (CU23) or KB5077465 (GDR)
• SQL Server 2025: KB5077466 (CU2) or KB5077468 (GDR) Windows 및 Linux 용
  
  

패치와 함께, 방어자는 SQL 로그인을 검토하고 역할 할당을 검토하며, 서비스 및 애플리케이션 계정에 대한 불필요한 권한을 줄이고, 데이터베이스 서버에 대한 네트워크 노출을 제한하고, 비정상적인 권한 변경이나 새로 할당된 고권한 역할을 모니터링해야 합니다. 악용에는 유효한 자격 증명이 필요하므로, 환경 전반에 걸쳐 내장된 데이터베이스 자격 증명, 공유 서비스 계정 및 비밀 관리 관행을 검토하는 것도 가치가 있습니다.

또한, SOC Prime의 AI-Native Detection Intelligence Platform으로 방어를 강화함으로써 SOC 팀은 최신 상태의 최대 규모 저장소에서 탐지 콘텐츠를 얻고, 탐지부터 시뮬레이션까지 전체 파이프라인을 안전 프로세스에 원활하게 수용하며, 자연어로 워크플로우를 조율하고, 대규모로 방어력을 강화하면서 변화하는 위협 상황을 매끄럽게 탐색할 수 있습니다. SOC Prime의 AI-Native 탐지 인텔리전스 플랫폼을 통해 탐지 콘텐츠를 최대의 최신 저장소에서 소싱하고, 탐지부터 시뮬레이션까지 전체 파이프라인을 보안 프로세스에 원활하게 통합하며, 자연어로 워크플로우를 조정하고, 변화하는 위협 환경을 부드럽게 탐색하는 동시에 규모에 맞는 방어를 강화할 수 있습니다.