Microsoft의 2026년 7월 Patch Tuesday는 그 규모가 기록적이어서 주목받았을 뿐 아니라, 두 개의 적극적으로 악용된 제로데이 취약점이 기업 인프라의 가장 민감한 부분을 공격했기 때문에 주목받았습니다. CVE-2026-56164는 온프레미스 SharePoint Server를 타겟으로 하며 저복잡성 공격에서 원격으로 악용될 수 있으며, CVE-2026-56155는 Active Directory Federation Services를 타겟으로 하여 낮은 권한의 로컬 발판에서 권한 상승을 허용합니다. 이 두 가지 취약점은 수비자가 이번 달의 위험을 점수로만 분류해서는 안 되는 이유를 보여줍니다.
SharePoint 버그는 더 시급한 인터넷 대상 문제입니다. 공개 보고에 따르면 이는 자격 증명도 사용자 상호작용도 필요하지 않으므로, 여전히 자체 호스팅 SharePoint를 운영하는 조직에게 특히 위험합니다. AD FS 결함은 도달 범위는 좁지만, 현실적으로는 똑같이 중요합니다. 왜냐하면 페더레이션 인프라가 기업의 정체성과 신뢰의 중심에 위치하기 때문입니다. 공격자가 그 층에 도달하면 영향은 단일 호스트를 훨씬 넘어설 수 있습니다.
CVE-2026-56164와 CVE-2026-56155 분석
For CVE-2026-56164 분석, 중요한 점은 Microsoft와 외부 보고가 실제 공격에서 이미 악용된 온프레 SharePoint에 대한 취약점으로 설명하고 있다는 것입니다. 이는 권한 상승 문제이지만, 많은 권한 버그와 달리 이는 원격으로 악용 가능하며 복잡성이 낮아, 라벨만으로 제시되는 것보다 더 작업적 위험이 큽니다.
CVE-2026-56164에 대한 현재 세부사항은 제한적입니다. Microsoft는 특정 익스플로잇 체인, 책임 있는 행위자 또는 완전한 사후 타협 행동에 대해 공개적으로 설명하지 않았습니다. 분명한 것은, 이 결함이 자체 호스팅 SharePoint Server에 영향을 미치며 이는 고우선순위 패치 이벤트로 취급되어야 한다는 점입니다. 특히 동일한 7월 업데이트가 추가 SharePoint 원격 코드 실행 및 보안 우회 문제도 해결하기 때문입니다.
AD FS 제로데이는 다른 프로파일을 가집니다. CVE-2026-56155는 Active Directory Federation Services에 영향을 미치며 로컬의 낮은 권한에서 시작합니다. 이로 인해 공격자가 어느 정도 접근을 얻은 후에 유용할 가능성이 높습니다. 그럼에도 불구하고, AD FS는 공격자가 네트워크에 진입한 후 찾고자 하는 정체성 인프라의 유형입니다. 이는 환경의 나머지를 위한 인증 경로에 위치하기 때문입니다.
작성 시점에서 CVE-2026-56164의 공개 PoC는 없으며, 인용된 보고서에서 CVE-2026-56155의 공개된 IOCs도 없습니다. 이는 수비자가 시그니처 기반 탐지에 덜 집중하고 노출 감소, 패치 배포 및 사후 타협 검토에 좀 더 집중해야 함을 의미합니다.
CVE-2026-56164와 CVE-2026-56155 완화
Microsoft가 권장하는 대응은 간단합니다: 두 결함을 즉시 패치하십시오. SharePoint의 경우, Full Mode에서 AMSI를 활성화하면 공격을 완화하는 데 도움이 될 수 있지만, 7월 업데이트가 공격자가 서로 연결할 수 있는 추가 SharePoint 취약점을 또한 닫기 때문에 패치가 우선입니다. 이러한 점에서 CVE-2026-56164 탐지는 완벽한 텔레메트리를 기다리는 것이 아니라 어떤 서버가 노출되어 있는지, 인터넷을 미연결로 유지하고 있는지, 아직 패치되지 않았는지를 확인하는 것이 더 중요합니다.
AD FS의 경우, 수정사항은 Windows 및 Windows Server 업데이트에 포함되어 있으며, Microsoft는 또한 AD FS Distributed Key Manager 컨테이너의 액세스 제어 목록을 강화하기 시작했습니다. 현실적으로, CVE-2026-56155 완화는 패치 작업 및 정체성 계층 강화 작업으로 취급되어야 합니다.
CVE-2026-56155를 탐지하기 위해, 보안 팀은 페더레이션 서버를 우선시하고, 관련 업데이트가 적용되었는지 확인하며, 의심스러운 로컬 권한 변경 또는 정체성 인프라 남용이 있었는지 검토해야 합니다. 동일한 논리는 SharePoint에도 적용됩니다: 모든 온프레 서버를 인벤토리화하고, 신속히 패치하며, 외부에서 접근 가능한 인스턴스가 초기 관찰된 악용 시점 이후 비정상적인 접근 또는 인증 후 남용의 징후를 보였는지를 검토합니다.
면책 조항: 모든 CVE에 대한 탐지 콘텐츠가 제공되지 않을 수 있습니다. 현재 커버리지를 위해 SOC Prime Platform을 확인하십시오. 현재 관련 탐지를 찾을 수 없다면, 나중에 다시 확인해 보십시오.
FAQ
CVE-2026-56164와 CVE-2026-56155는 무엇이며 어떻게 작동합니까?
CVE-2026-56164는 원격에서 악용 가능한 저복잡성 공격에서 온프레 Microsoft SharePoint Server의 권한 상승 취약점입니다. CVE-2026-56155는 로컬 저권한에서 시작하여 공격자가 정체성 인프라에 더 깊이 파고들 수 있도록 지원하는 Active Directory Federation Services의 권한 상승 취약점입니다.
CVE-2026-56164와 CVE-2026-56155는 언제 처음 발견되었습니까?
공개 보고는 어느 쪽 문제에 대해서도 비공개 발견 날짜를 공개하지 않았습니다. 알려진 것은 Microsoft가 2026년 7월에 공개적으로 수정을 배포하고 두 가지에 대해 사건 대응자에게 크레딧을 주었으며, 이는 실제 공격 조사 중에 발견되었을 가능성이 크다는 것입니다.
CVE-2026-56155가 시스템에 미치는 영향은 무엇입니까?
CVE-2026-56155의 가장 심각한 영향은 AD FS 호스트에서의 권한 상승입니다. 이는 로컬 접근 요구가 암시하는 것보다 훨씬 중요할 수 있습니다. 왜냐하면 AD FS는 환경 전체의 신원 신뢰를 서명하고 중개하기 때문입니다. 잘못된 손에 들어가면, 그 역할의 타협은 전체 네트워크를 이동하며 후속 남용을 지원할 수 있습니다.
2026년에 CVE-2026-56164와 CVE-2026-56155가 여전히 저에게 영향을 미칠 수 있습니까?
예. 2026년 7월 Microsoft 업데이트를 적용하지 않은 경우, 특히 인터넷에 연결된 온프레 SharePoint를 운영하거나 이미 공격자가 기존 발판을 통해 접근할 수 있는 AD FS 서버를 유지하는 경우 여전히 노출될 수 있습니다.
CVE-2026-56164와 CVE-2026-56155로부터 어떻게 보호할 수 있습니까?
즉시 패치하고, SharePoint에서 AMSI Full Mode를 추가 제어로 활성화하고, AD FS 용으로 Windows 및 Windows Server 업데이트를 배포하며, 가장 민감한 협업 및 정체성 시스템에 대해 사후 타협 남용의 흔적을 검토하십시오. 이 경우, 속도가 공공 탐지 완전 공개를 기다리는 것보다 더 중요합니다.