2025년 3월, Microsoft는 정기 보안 업데이트를 통해 CVE-2025-24054를 패치했습니다.
당시에는 심각도 '중간(Medium)', 공격 가능성 낮음으로 평가되었지만,
불과 8일 후 실제 악성 캠페인에서 이 취약점을 적극적으로 악용하기 시작했습니다.
보안 기업 Check Point는 해당 취약점이 루마니아와 폴란드의 정부 및 민간 조직을 대상으로 한
지속적인 피싱 공격 캠페인에서 NTLM 해시 탈취용으로 사용되었다고 밝혔습니다.
🧠 취약점 상세: 클릭하지 않아도 위험하다
CVE-2025-24054는 Windows의 NTLM 인증 처리 로직의 허점을 노립니다.
이 취약점은 사용자가 다음과 같은 아주 사소한 동작만 해도 발동될 수 있습니다:
- 폴더에 마우스를 갖다 대는 것만으로
- 파일을 우클릭하거나 드래그하는 동작
- 압축 해제 후 해당 폴더 탐색
이러한 동작만으로도 Windows 탐색기(Explorer.exe)가
사용자의 NTLM 인증 요청을 외부 SMB 서버로 전송하게 되고,
결과적으로 인증 해시(credential hash)가 공격자에게 유출될 수 있습니다.
🎯 공격 시나리오: zip 파일을 푸는 것만으로도 당한다
공격자 전략 예시
- 피싱 메일 전송
- 제목: “급한 보안 업데이트.zip” 또는 “업무 관련 문서.zip”
- 링크는 Dropbox 등 합법적 호스팅 도메인을 활용
- 압축 파일 내 포함된 library-ms 파일
- 사용자가 압축을 해제하거나 폴더를 열기만 해도
- Windows가 자동으로 외부 SMB 서버에 NTLM 요청 발생
- 공격자 서버에서 해시 수집 후 크래킹/릴레이 공격
💡 왜 이 취약점이 위험한가?
- ✅ 사용자 클릭 불필요 → 최소 상호작용만으로 유발
- ✅ 파일 실행 없이 발동 → 기존 보안 툴 탐지 우회
- ✅ NTLM 프로토콜은 여전히 널리 사용 중
- Silverfort 조사에 따르면 64%의 AD 사용자 계정이 NTLM 사용
🔄 과거와 이어지는 문제들
CVE-2025-24054는 사실상 CVE-2024-43451의 변형 버전에 가깝습니다.
마찬가지로 library-ms 형식의 파일을 통해 NTLM 요청을 외부로 유도했으며,
이전에는 러시아계 그룹(UAC-0194)가 우크라이나 대상 Spark RAT 배포에 사용한 바 있습니다.
이외에도 유사한 NTLM 관련 취약점은 계속 발견되고 있습니다:
| CVE ID | 요약 |
| CVE-2025-21377 | NTLM 해시 노출 (2025년 2월) |
| CVE-2025-21311 | NTLM Relay 취약점 (CVSS 9.8) |
| CVE-2023-23397 | Outlook NTLM 유출 (고위험) |
🛡 대응 전략: NTLM이 문제면 사용하지 않는 것이 최선
✅ 1. 긴급 패치 적용
- CVE-2025-24054는 2025년 3월 보안 업데이트에 포함
- 여전히 적용하지 않은 시스템이 있다면 즉시 패치
✅ 2. NTLM 사용 중지 고려
- Active Directory 환경에서 Kerberos 우선 인증으로 설정
- NTLM을 사용하는 레거시 시스템 점검 및 교체 필요
✅ 3. SMB 아웃바운드 트래픽 제한
- 내부망에서 외부 SMB로의 연결을 방화벽에서 차단
- *.library-ms, .scf, .url 형식의 파일은 첨부 시 차단 또는 검사
✅ 4. ZIP 파일 자동 탐색 방지
- Explorer 자동 탐색 기능 비활성화
- 알려지지 않은 압축파일은 별도의 가상환경에서 확인
✅ 5. EDR/SIEM 탐지 룰 강화
- NTLM 인증 요청이 외부 도메인으로 전송되는 행위 탐지
- explorer.exe → outbound SMB 로그 이벤트 추적
🚨 결론: NTLM은 이미 폐기된 인증 체계입니다
Microsoft는 이미 NTLM을 공식적으로 폐기(deprecate)했고,
이후 추가 보안 기능 개발도 중단한 상태입니다.
하지만 여전히 수많은 시스템이 NTLM에 의존하고 있으며,
공격자들은 이 허점을 끊임없이 파고들고 있습니다.
❗ 시스템에 NTLM이 남아 있다면, 그것은 열린 뒷문입니다.
❗ 취약점 패치와 함께, 프로토콜 자체의 제거도 반드시 검토하세요.
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🧨 Apache Roller에서 발견된 최대 심각도 취약점 (CVE-2025-24859) (1) | 2025.04.17 |
|---|---|
| ⚠️ AI 환경의 ‘기본값’ NVIDIA, 취약점 악용 가능성 커져 (0) | 2025.04.17 |
| 🎯 AI 도구를 활용한 피싱, 이제는 ‘프레젠테이션’까지 이용한다 (2) | 2025.04.17 |
| 🕵️ UNC5174, 다시 수면 위로…이번엔 ‘파일리스’와 WebSocket으로! (1) | 2025.04.17 |
| 🚨 새로운 파일리스 공격 캠페인, 보안 연구진이 발견하다 (2) | 2025.04.16 |