CVE-2025-47981: Windows SPNEGO 확장 협상에서 발생하는 치명적 힙 기반 버퍼 오버플로우 취약점
1.4억 대 이상의 Windows 기기와 Microsoft 365 및 Azure의 광범위한 도입으로, Microsoft 기술은 현대 기업 인프라의 기반을 형성하고 있습니다. 그러나 이러한 광범위한 사용은 공격자에게 매력적인 타겟이 되기도 합니다. 2025 BeyondTrust Microsoft 취약점 보고서에 따르면, 2024년에는 1,360건의 Microsoft 관련 취약점이 기록적으로 보고되어 전년 대비 11% 증가했으며, 공격 표면이 점점 확장되고 있음을 보여줍니다.
이 같은 추세는 최근 마이크로소프트의 Patch Tuesday 업데이트에도 반영되어 130건의 취약점을 해결했으며, 그 중에는 치명적인 CVE-2025-47981 취약점도 포함되어 있습니다. 이 Windows SPNEGO 확장 협상에서 발생하는 힙 기반 버퍼 오버플로우(CVSS 9.8)는 원격 코드 실행을 가능하게 하며, 핵심 Microsoft 구성요소가 점점 더 공격자에게 악용되고 있어 빠른 탐지 및 대응이 필수적입니다.
SOC Prime 플랫폼 가입을 통해 글로벌 실시간 위협 피드를 이용할 수 있으며, 최신 CTI(위협 인텔리전스)와 큐레이션된 탐지 알고리즘으로 새로운 위협에 대응할 수 있습니다. 보안팀은 “CVE” 태그가 붙은 맥락이 풍부한 Sigma 규칙 모음을 탐색할 수 있으며, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 고급 탐지 기능을 갖춘 완전한 제품군을 활용할 수 있습니다.
모든 규칙은 다양한 SIEM, EDR, 데이터 레이크 포맷과 호환되며, MITRE ATT&CK 프레임워크에 매핑되어 있습니다. 각 규칙은 또한 CTI 링크, 공격 타임라인, 감사 구성, 우선순위 지정 권고 등 관련 컨텍스트로 풍부하게 보강되어 있습니다. 탐지 탐색하기 버튼을 눌러 “CVE” 태그로 필터링된 치명적 취약점에 대한 전체 탐지 스택을 확인하고 선제적으로 방어하세요.
보안 엔지니어는 또한 Uncoder AI를 활용할 수 있습니다. 이 비대리인 AI는 위협 인텔리전스 기반 탐지 엔지니어링에 최적화되어 있으며, IOC를 자동으로 헌팅 쿼리로 변환하고, 원시 위협 보고서에서 탐지 규칙을 생성하며, ATT&CK 태그 예측과 AI 기반 쿼리 최적화, 다양한 플랫폼 간 탐지 콘텐츠 번역을 지원합니다.
CVE-2025-47981 분석
2025년 7월 Patch Tuesday에서 Microsoft는 Windows와 Windows Server 모두에 영향을 미치는 치명적이고 웜 전파 가능 원격 코드 실행(RCE) 취약점인 CVE-2025-47981의 보안 패치를 배포했습니다.
CVE-2025-47981은 SPNEGO 확장 협상 메커니즘의 힙 기반 버퍼 오버플로우 취약점으로, CVSS 점수는 9.8에 달합니다. 공격자는 사용자 상호작용 없이 조작된 메시지를 취약한 시스템에 전송해 공격을 수행할 수 있습니다. 이 코드는 높은 권한으로 실행되어 웜형 전파가 가능하며, Microsoft는 이 취약점의 공격 가능성을 최고 수준으로 평가해 30일 내 악용 가능성을 경고했습니다.
해당 패치는 Windows와 Windows Server의 다양한 버전에 대한 보안 업데이트에 포함되어 있습니다. Microsoft는 이 취약점이 GPO 기본 설정 때문에 Windows 10 (버전 1607 이상)에 영향을 미친다고 밝혔습니다. 따라서 시기 적절한 패치 적용이 CVE-2025-47981을 완화하는 가장 현실적인 방법입니다. Qualys 위협 연구팀의 Saeed Abbasi는 인터넷에 노출된 시스템, VPN으로 접근 가능한 자산, Active Directory와 상호작용하는 시스템 업데이트를 우선시할 것을 권고했습니다. 패치가 어려운 시스템의 경우 PKU2U GPO 설정을 비활성화하고 네트워크 경계에서 135, 445, 5985 포트의 인바운드 트래픽을 차단하는 것도 고려해야 합니다.
확장되는 공격 표면에 선제적으로 대응하기 위해, 조직은 SOC Prime의 전문성 및 AI 기술에 의존할 수 있습니다. 탐지 규칙 마켓플레이스, 위협 헌팅 자동화, 탐지 엔지니어링, AI 기반 위협 인텔리전스 등 다양한 기능을 통해 SOC 혁신을 지원합니다. AI, 자동화, 실행 가능한 CTI를 포함한 SOC Prime의 완전한 제품군과 제로 트러스트 원칙을 활용해 보안팀은 취약점 악용과 예상되는 신종 위협을 효과적으로 최소화할 수 있습니다.
