CVE-2025-9491…원격 코드 실행 유발 가능

[보안뉴스 김형근 기자] 마이크로소프트(MS)가 패치 화요일(Patch Tuesday) 업데이트를 통해 2017년부터 여러 위협 행위자에게 활발히 악용돼 온 윈도우 보안 취약점을 ‘조용히’ 패치했다고 보안업체 에이크로스 시큐리티가 밝혔다.


[자료: 연합뉴스]

해당 취약점은 CVE-2025-9491로, 윈도우 바로 가기(LNK) 파일의 윈도우 사용자 인터페이스(UI) 오해석 결함으로 인해 원격 코드 실행을 유발할 수 있었다.

이 취약점은 .LNK 파일을 다루는 과정에서 발생하며, 조작된 데이터가 UI를 통해 파일 속성을 확인할 때 악성 명령어를 사용자 눈에 보이지 않게 숨기는 방식이었다.

공격자들은 이 파일을 무해한 문서로 위장해 사용자에게 실행을 유도했다. 이 문제는 지난 3월 처음 알려졌으며, 당시 트렌드마이크로 산하 ZDI는 중국, 이란, 북한, 러시아 등 11개 국가 지원 해킹 그룹이 데이터 탈취, 첩보 활동 등에 이 취약점을 악용해 왔다고 폭로했다. MS는 이 결함이 “즉시 서비스할 기준에 미치지 못한다”는 입장을 고수하며 패치를 미뤘다.

그러나 취약점이 공개된 같은 달, 프랑스 보안업체 하팡랩은 XD스파이라는 사이버 첩보 그룹이 이 결함을 악용해 고(Go) 기반 악성코드인 XDigo를 동유럽 정부 기관에 배포한 사실을 발견했다.

이후 지난 10월에는 중국 연계 위협 행위자들이 유럽 외교 및 정부 기관을 표적으로 플러그X 악성코드를 유포하는 데 이 취약점을 사용한 것이 보안업체 아크틱 울프에 의해 다시 보고됐다.

그동안 악성 행위자는 이 취약점을 이용해 중요한 악성 명령어를 260자 이후에 숨길 수 있었다. 하지만 이번에 MS가 조용히 배포한 패치는 속성 대화 상자에 목표 명령 전체를 길이에 관계없이 표시하도록 수정해, 악성 명령어 숨기기 문제를 근본적으로 해결했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>