취약점 설명:
Microsoft Windows:CVE-2025-21298은 원격 코드 실행을 위한 Windows OLE의 심각한 취약점으로, CVSS 점수는 9.8입니다. 공격자는 특수하게 조작된 이메일을 Microsoft Outlook 사용자에게 전송하여 이 취약점을 악용할 수 있습니다. 악성 이메일을 열거나 미리 보기만 해도 피해자의 시스템에서 임의의 코드가 실행됩니다.
취약점 POC:
CVE-2025-21298 취약점은 ole32.dll 파일에 있으며, 특히 UtOlePresStmToContentsStm 함수의 이중 릴리스 오류로 인해 발생합니다. 이 함수는 Microsoft Outlook의 일반적인 기능인 서식 있는 텍스트 형식(RTF) 파일에 포함된 OLE 개체를 처리하는 역할을 담당합니다.
문제는 pstmContents 변수에 있습니다. 처음에는 함수를 시작할 때 생성된 "CONTENTS" 스트림 객체에 대한 포인터를 저장하는 데 사용되었습니다. 스트림은 생성 직후에 소멸되고 스트림에 저장된 pstmContents 포인터는 해제됩니다(coml2.dll!ExposedStream::~ExposedStream에서 해제됨). 그러나 변수에는 여전히 해제된 포인터가 포함됩니다. 함수 깊숙이 들어가면 변수의 용도가 변경되어 "CONTENTS" 스트림에 대한 포인터를 다시 저장할 수 있으므로 변수에 포인터가 저장되어 있는 경우 이를 해제하는 정리 코드가 함수 끝에 있습니다. 이 코드는 UtReadOlePresStmHeader가 실패할 수 있다는 사실을 고려하지 않습니다. 이 경우 pstmContents는 여전히 해제된 포인터를 가리키고 정리 코드를 입력하면 포인터가 다시 해제됩니다. 따라서 이중 릴리스가 발생합니다.
공격자는 Outlook에서 미리 볼 때 사용자 상호 작용 없이 임의의 코드가 실행되는 이중 릴리스 조건을 트리거하는 신중하게 조작된 RTF 파일을 이메일로 보내기만 하면 이 취약점을 악용할 수 있습니다.
POC:
https://github.com/expdb2015/CVE-2025-21298
비디오:
취약점의 영향:
영향을 받는 운영 체제:
Windows 10, 11, Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022, 2025.
솔루션:
1. 일반 텍스트로 이메일 읽기: 이메일을 일반 텍스트로 표시하도록 Microsoft Outlook을 구성하면 악성 OLE 개체가 트리거될 위험이 줄어듭니다. 그러나 이 방법을 사용하면 서식 있는 텍스트 콘텐츠(예: 이미지 및 특수 글꼴)가 더 이상 올바르게 표시되지 않으므로 이메일의 가독성에 영향을 미칩니다.
2. 신뢰할 수 없는 출처에서 보낸 RTF 파일 열지 않기: 사용자는 특히 알 수 없는 발신자가 보낸 RTF 첨부파일이나 콘텐츠가 포함된 이메일에 주의해야 합니다.
3. 최소 권한 원칙 적용: 공격 성공의 영향을 줄이기 위해 사용자 권한을 제한합니다.
인용하다:
https://attackerkb.com/topics/cve-2025-21298
CVE-2025-21298
https://support.microsoft.com/help/5049981
https://support.microsoft.com/help/5049983
https://support.microsoft.com/help/5049984
https://support.microsoft.com/help/5049993
https://support.microsoft.com/help/5050004
https://support.microsoft.com/help/5050008
https://support.microsoft.com/help/5050009
https://support.microsoft.com/help/5050013
https://support.microsoft.com/help/5050021
https://support.microsoft.com/help/5050048
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://cncso.com/kr/마이크로소프트-아웃룩-제로-클릭-rce-취약성-html
