미국 사이버보안 및 인프라 보안국(CISA)은 연방 기관에 제로 데이 공격으로 악용되는 취약성으로부터 Windows 시스템을 보호하도록 명령했습니다.
CVE-2026-32202로 추적된 이 보안 결함은 사이버 보안 회사인 Akamai에 의해 보고되었으며, 이 보안 결함은 Microsoft가 2월에 원격 코드 실행 결함(CVE-2026-21510)을 불완전하게 패치한 후 남겨진 제로 클릭 NTLM 해시 유출 취약점이라고 설명했습니다.
CERT-UA가 공개한 바와 같이, 러시아 APT28(일명 UAC-0001 및 Fancy Bear) 사이버 스파이 그룹은 LNK 파일 결함(CVE-2026-21513)을 표적으로 삼는 익스플로잇 체인의 일부로 2025년 12월 우크라이나 및 EU 국가에 대한 공격에서 CVE-2026-21510을 악용했습니다.
Microsoft는 "피해자가 실행해야 하는 악성 파일"을 피해자에게 보내 낮은 복잡성 공격에서 CVE-2026-32202 취약점을 성공적으로 악용하는 원격 공격자가 패치가 적용되지 않은 시스템에서 "일부 민감한 정보를 볼" 수 있다고 밝혔습니다.
Akamai는 목요일 보고서에서 이 보안 결함이 패스더해시(pass-the-hash) 공격에 악용되어 NTLM 해시(해시된 비밀번호)를 훔치고 나중에 손상된 사용자로 인증하는 데 사용되어 공격자가 네트워크 전체에 측면으로 확산되거나 민감한 데이터를 훔칠 수 있다고 설명했습니다.
지난 주 BleepingComputer가 2026년 4월 패치 화요일에 발표된 권고의 악용 가능성 평가가 'Exploitation Detected(악용 감지됨)'인 이유를 문의한 후 Microsoft는 CVE-2026-3220 결함을 공격에 악용한 것으로 표시했습니다.
CVE-2026-32202 공격에 대한 추가 정보(APT28 해커가 이 제로클릭 취약점을 악용했는지 여부 포함)에 대해 Microsoft는 BleepingComputer에 현재까지 관찰한 내용을 토대로 이 CVE를 APT28 활동과 연관시키는 증거를 식별하지 못했다고 말했습니다.
Fed, 5월 12일까지 패치 명령
화요일, CISA는 KEV(알려진 악용 취약점) 카탈로그에 CVE-2026-32202를 추가하고 BOD(Binding Operational Directive) 22-01에 따라 2주 이내에 5월 12일까지 Windows 엔드포인트와 서버를 패치하도록 FCEB(연방 민간 행정부) 기관에 명령했습니다.
사이버 보안 기관은 "이러한 유형의 취약점은 악의적인 사이버 행위자가 빈번하게 사용하는 공격 벡터이며 연방 기업에 심각한 위험을 초래합니다"라고 경고했습니다.
"공급업체 지침에 따라 완화 조치를 적용하고, 클라우드 서비스에 대한 해당 BOD 22-01 지침을 따르거나, 완화 조치를 사용할 수 없는 경우 제품 사용을 중단하세요."
BOD 22-01은 미국 연방 기관에만 적용되지만 CISA는 모든 보안 팀에 CVE-2026-32202에 대한 패치 배포 및 조직의 네트워크 보안을 최대한 빨리 우선시할 것을 촉구했습니다.
또한 위협 행위자들은 SYSTEM 또는 상승된 관리자 권한을 얻기 위한 공격에서 최근 공개된 세 가지 Windows 보안 취약점(BlueHammer, RedSun 및 UnDefend)을 적극적으로 악용하고 있으며, 후자 두 가지는 여전히 패치를 기다리고 있습니다.
업데이트 4월 30일 06:04 EDT:Microsoft 설명이 추가되었습니다.
발견된 신화의 99%는 아직 패치되지 않았습니다.
AI는 렌더러와 OS 샌드박스를 모두 우회하는 하나의 익스플로잇에 4개의 제로데이를 연결했습니다. 새로운 공격의 물결이 다가오고 있습니다.
Autonomous Validation Summit(5월 12일 및 14일)에서 상황에 맞는 자율적 검증이 어떻게 악용 가능한 항목을 찾고, 통제 수단이 유지되는지 입증하고, 문제 해결 루프를 종료하는지 알아보세요.
자리를 차지하세요