팔로우 
1월의 패치 화요일 출시 후, Windows Desktop Manager에서 발견된 제로데이 등 114개의 취약점을 해결한 직후, CVE-2026-20805), Microsoft는 현재 악용 중인 또 다른 버그를 수정하기 위해 긴급 비요일 업데이트를 서둘러 출시했습니다. 이번에는 공격자들이 Microsoft Office의 제로데이인 CVE-2026-21509를 대상으로 하여 내장된 보안 기능을 우회할 수 있습니다.
Microsoft가 확인한 악용 사례를 고려하여, 이 결함은 신속하게 추가되었습니다 CISA의 알려진 악용 취약점(KEV) 목록에 추가되어, 미국 연방 민간 기관은 2026년 2월 16일까지 이를 패치해야 합니다.
Microsoft 제품은 여전히 제로데이 공격의 주요 목표로 남아 있으며, 작년에만 41개의 취약점이 제로데이로 확인되었으며, 그 중 24개는 야생 공격에 사용되었다고 Tenable에 따르면. Windows 운영 체제와 Office 구성 요소는 여전히 주요 공격 벡터이며, 이 추세는 2026년까지 지속됩니다.
SOC Prime 플랫폼에 가입하세요, 세계 최대의 탐지 인텔리전스 데이터를 집합하고, 탐지부터 시뮬레이션까지 모든 것을 원활하게 처리할 수 있도록 SOC 팀에 전 제품군을 제공합니다. 이 플랫폼은 중요한 익스플로잇과 다양한 수준의 사이버 위협을 다루는 대규모 규칙 컬렉션을 특징으로 합니다. 그냥 탐지 탐색 을 누르고 “CVE” 태그로 필터링된 관련 탐지 스택으로 즉시 세부 탐색하세요.
모든 규칙은 최신 MITRE ATT&CK® 프레임워크 v18.1에 매핑되어 있으며, 여러 SIEM, EDR 및 데이터 레이크 플랫폼과 호환됩니다. 또한 각 규칙은 CTI 참조, 공격 흐름, 감사 구성 등 폭넓은 메타데이터와 함께 제공됩니다.
사이버 방어자는 또한 Uncoder AI 를 사용하여 탐지 엔지니어링 루틴을 간소화할 수 있습니다. 원시 위협 보고서를 실행 가능한 행동 규칙으로 전환하고, 탐지 논리를 테스트하고, 공격 흐름을 맵핑하며, IoC를 헌팅 쿼리로 전환하거나 AI의 힘과 각 단계 뒤의 깊은 사이버 보안 전문 지식으로 지원되는 탐지 코드를 즉시 번역하세요.
CVE-2026-21509 분석
2026년 1월 26일, Microsoft는 권고 를 발표하여 Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024, 그리고 Microsoft 365 앱에서 보안 기능을 우회할 수 있는 취약점에 대해 자세히 설명했습니다.
이 보안 문제는 Microsoft Office가 보안 결정을 내리는 데 신뢰할 수 없는 입력을 사용하는 것에서 발생합니다. 이는 인증되지 않은 로컬 해커가 보안 기능을 우회할 수 있게 합니다. 특히, CVE-2026-21509는 Microsoft 365와 Office에서 OLE 완화를 우회할 수 있어 사용자에게 취약한 COM/OLE 컨트롤을 노출시킵니다.
악용은 일반적으로 공격자가 허락한 악성 Office 파일을 열도록 사용자를 설득하는 행위를 포함합니다. Microsoft는 미리 보기 창이 직접적인 공격 벡터가 아니라고 명시했지만, 여전히 저복잡성의 사용자 상호작용 공격을 통해 악용될 수 있습니다.
Microsoft는 취약성 공개에 대해 자사 내부 사이버 보안 연구 팀에 공로를 인정하면서도, 악용 사례에 대한 정보를 거의 공유하지 않습니다. 보안 권고는 야생에서의 악용 시도만을 확인하며, 공개된 PoC 익스플로잇이 존재하지 않아 일부 위협 행위자만이 타겟 캠페인에서 이 결함을 활용했을 수 있음을 시사합니다.
특히 Office 2021 및 이후 버전의 사용자는 애플리케이션을 다시 시작하면 서비스 측면에서 자동으로 보호됩니다. Office 2016과 2019는 곧 출시될 보안 업데이트를 설치하거나, 취약한 COM/OLE 컨트롤을 차단하기 위해 수동으로 레지스트리 변경을 적용해야 합니다. 이는 COM 호환성 레지스트리 노드에 특정 하위 키를 추가하고 호환성 플래그 DWORD 값을 설정하는 것을 포함합니다. 사용자는 변경 사항을 적용하기 전에 레지스트리를 백업하고, 보호 조치를 적용하기 위해 Office를 다시 시작해야 합니다. 400. Users should back up the registry before making any changes and restart Office for the protections to take effect.
해당 Microsoft Office 제품을 사용하는 조직은 즉시 패치를 적용하거나 권고문에 설명된 완화 단계를 따라야 합니다. 또한, SOC Prime의 AI-기반 탐지 인텔리전스 플랫폼으로 방어를 강화함으로써 SOC 팀은 최신 콘텐츠를 가장 큰 리포지토리에서 소싱하고, 탐지에서 시뮬레이션까지 전체 파이프라인을 보안 프로세스로 원활하게 채택하며, 자연어로 된 워크플로우를 조율하고, 끊임없이 변화하는 위협 환경을 원활하게 탐색하면서 대규모로 방어를 강화할 수 있습니다.
