Windows Server Update Services의 원격 코드 실행 취약점에 대한 개념 증명 악용 사례 공개

Windows Server Update Services(WSUS)에서 심각한 취약점이 발견되었습니다. 개념 증명(PoC) 방식의 공격이 이미 유포되어 기업 시스템을 위협하고 있습니다. 이 취약점은 SYSTEM 권한으로 원격 코드를 실행할 수 있게 하여 네트워크 관리자에게 심각한 문제를 야기합니다.

CVE-2025-59287로 식별된 이 취약점의 심각성은 결코 과소평가해서는 안 됩니다. 이 취약점은 2012년부터 2025년까지 지원되는 모든 Windows Server 버전에 영향을 미칩니다. 믿기 어려울지 모르지만, 이 문제는 매우 오래된 문제, 즉 안전하지 않은 역직렬화에서 비롯됩니다.

기업 네트워크용 WSUS의 심각한 취약점

Windows Server에서 WSUS는 네트워크 전반에서 Microsoft 업데이트를 관리하는 핵심 역할을 합니다. 이 서비스는 패치의 안전하고 제어된 배포를 보장하여 각 컴퓨터가 공용 서버에 직접 액세스하는 것을 방지합니다. 그러나 민감한 함수인 GetCookie()의 구현은 문제를 야기합니다.

WSUS는 AES-128-CBC로 암호화된 AuthorizationCookies라는 객체를 처리합니다. 문제는 무엇일까요? 이러한 쿠키는 .NET BinaryFormatter를 통해 엄격한 검증 없이 복호화된 후 역직렬화됩니다. 이 바이너리는 수년간 잠재적인 취약점으로 알려져 왔습니다.

악용 메커니즘과 그 실제 영향: 문제의 핵심은 8530번 포트를 통해 ClientWebService로 전송된 익명 HTTP POST 요청의 데이터를 역직렬화하는 것입니다. 공격자는 PlugInId가 “SimpleTargeting”으로 설정된 변조된 쿠키를 생성합니다. 그런 다음 악의적인 SOAP 봉투를 통해 이를 전송합니다. 사용자 계정은 필요하지 않습니다.

WSUS 서버는 하드코딩된 키로 이 쿠키를 복호화하고, 초기화 벡터를 제거한 후, 역직렬화를 수행하여 임의 코드를 실행합니다. 이 작업은 SYSTEM 컨텍스트에서 수행되므로 모든 권한을 갖게 됩니다. 물론, 이 작업이 통과하면 심각한 피해를 입힐 것입니다.

공개된 개념 증명 익스플로잇은 이미 사용 가능합니다.

연구원 “hawktrace”는 C#으로 작성된 개념 증명 익스플로잇을 공개했습니다. 이 익스플로잇은 악성 쿠키를 빌드하고, “calc.exe”와 같은 실행을 위해 설계된 대리자를 직렬화하고, 이 페이로드를 암호화하고, SOAP 요청을 위해 Base64로 인코딩하는 방법을 보여줍니다. 간단히 말해, 완벽한 사용 설명서입니다.

즉, 정보력이 풍부한 스크립트 키디라면 누구나 오래되고 노출된 WSUS 서버를 공격할 수 있습니다. 이러한 서버가 제한적인 방화벽으로 보호되지 않으면, 특히 대규모 조직의 경우 이 취약점이 네트워크 전체로 빠르게 확산될 수 있습니다.

악용의 잠재적 결과

이 취약점은 결코 사소한 문제가 아닙니다. WSUS가 장악되면 IT 공급망을 통해 악성코드 공격이 발생할 수 있습니다. 상상해 보세요. 합법적인 업데이트가 인포스틸러나 랜섬웨어를 배포하는 매개체가 됩니다. 악몽 같은 시나리오가 이미 완성되었습니다. Microsoft는 악용 가능성이 매우 높다고 분류하고 “웜 감염 가능”이라는 특성을 강조했습니다. “웜 감염 가능”이라는 용어는 악성코드가 사람의 개입 없이 WSUS 서버에서 WSUS 서버로 확산될 수 있다는 것을 의미합니다. 취약점이 그대로 노출되면 눈덩이 효과가 발생할 것이 확실합니다.