잘못된 패킷 하나로 시스템 권한을 획득할 수 있는 Windows Server 취약점 — 도메인 컨트롤러(Domain Controllers)가

보안 취약점이 놀라운 속도로 발표되고, 대개 누군가가 대응할 시간도 채 갖기 전에 실제 공격(exploited in the wild)에 악용되는 2026년의 거대한 악용 사태가 빠르게 진행되고 있습니다. 오늘 Microsoft가 불운하게도 주목을 받고 있는데, Windows Server 도메인 컨트롤러(DC) 2012 버전부터 최신 버전까지 영향을 미치는 CVSS 9.8 등급의 원격 실행(remote execution) 취약점이 발견되었습니다. 이 익스플로잇(exploit)과 그 설명은 간단합니다. 동일한 네트워크 내의 인증되지 않은 사용자라면 누구나 DC에 잘못된 UDP 패킷을 전송하여 잠재적으로 시스템(system) 액세스 권한을 얻을 수 있으며, 이전의 액세스 권한은 전혀 필요하지 않습니다. 공격자가 그 정도까지 하지 않더라도, 누구나 DC를 강제로 재부팅하게 만드는 것은 매우 쉬우며, 이는 잠재적인 서비스 거부(denial-of-service, DoS) 시나리오를 생성합니다.

이 취약점은 CVE-2026-41089이며, 다행히 이번에는 제로데이(zero-day)는 아닙니다. 취약한 서비스는 Netlogon이며, 현재로서는 완화 방법(mitigation)이 없는 것으로 보이며 유일한 해결책은 영향을 받는 시스템을 패치하는 것뿐입니다. 패치 자체는 5월 12일 패치 화요일(Patch Tuesday)에 제공되지만, 특히 구버전뿐만 아니라 많은 DC가 패치되지 않은 상태로 남아 있을 가능성이 큽니다. 시스템 관리자들은 특정 패치 링크와 복구 스크립트(remediation scripts)를 활용하는 것이 유용할 수 있습니다.

공격자가 이 취약점을 교묘하게 이용하여 도메인 컨트롤러에 대한 시스템(System) 수준의 액세스를 획득할 수 있다면, 그 결과는 상상력을 초월할 정도로 심각합니다. 악의적인 사용자는 Kerberos 티켓 발급 티켓(Ticket-Granting Tickets, TGT)을 포함하여 온갖 종류의 액세스 수준을 가진 수많은 계정을 생성할 수 있으며, 이를 통해 전체 도메인에 걸친 거의 모든 데이터에 접근할 수 있게 됩니다. DC는 중대형 기업의 더 큰 네트워크 일부로 작동하는 경우가 많기 때문에, 단 한 대의 취약한 머신만으로도 전체 네트워크를 불안전하게 만들기에 충분합니다. 사이버 보안 전문가들은 관리자들이 이를 웜(worm) 방식의 위협으로 간주하고, 두더지 잡기 게임처럼 확률 낮은 대응을 반복하지 않도록 연결된 모든 DC를 한꺼번에 패치할 것을 권장합니다.

Microsoft는 해당 취약점이 공개될 당시에는 알려지지 않았으며, 이를 이용한 공격도 진행 중이지 않았다고 밝혔으나, 최근 보고서들을 통해 현재 이 취약점이 실제 공격(in the wild)에 악용되고 있음이 확인되면서 상황이 변했습니다. 개념 증명(Proof-of-Concept, PoC) 측면에서는, 약 1분 후에 LSASS 서비스가 충돌하도록 강제하는 샘플 코드가 포함된 GitHub 저장소가 존재합니다.

기술적인 세부 사항은 단순하며 다소 어처구니가 없을 정도입니다. 취약점을 유발하는 조작된 네트워크 패킷(network packet)에는 특별히 복잡한 것이 없으며, 단지 허용된 크기보다 큰 필드가 하나 포함되어 있을 뿐입니다. Netlogon 서비스의 데이터 직렬화(Data serialization) 로직이 공격자가 제공한 데이터와 서버의 호스트 이름을 결합하면서, 가장 전형적인 유형의 취약점인 버퍼 오버플로(buffer overflow)를 발생시킵니다.

Microsoft는 최근 보안 관련 뉴스에 자주 등장하고 있는데, 이는 주로 보안 연구가인 Chaotic Eclipse(일명 Nightmare Eclipse)와의 지속적인 갈등 때문입니다. 그는 Microsoft와의 협상이 결렬된 것으로 보이는 이후, 수많은 제로 데이(zero-day) 익스플로잇을 공개했습니다. 상황은 불분명하지만, Microsoft가 현재 Eclipse를 상대로 법적 조치를 위협할 정도로 상황이 악화되었습니다.

최신 뉴스, 분석 및 리뷰를 피드에서 받아보려면 Google 뉴스에서 Tom's Hardware를 팔로우하거나, 저희를 선호하는 소스로 추가하세요.

Tom's Hardware의 최고의 뉴스 및 심층 리뷰를 이메일로 직접 받아보세요.

Bruno Ferreira는 Tom's Hardware의 기고가입니다. 그는 개발자로서의 경력과 더불어 PC 하드웨어 및 다양한 잡화 분야에서 수십 년의 경험을 보유하고 있습니다. 그는 세부 사항에 집착하며 자신이 좋아하는 주제에 대해 장황하게 설명하는 경향이 있습니다. 그렇지 않을 때는 주로 게임을 하거나 라이브 음악 공연 및 페스티벌에 참석하곤 합니다.