DEEP DIVE REPORT

CISA KEV 등재 Microsoft Exchange XSS(CVE-2026-42897) 긴급 대응 가이드

SecurityDesk
2026.05.18 조회 15

서론

CVE-2026-42897은 Microsoft Exchange Server의 웹 페이지 생성 과정에서 발생하는 XSS(Stored XSS) 취약점이다. 이 취약점은 Outlook Web Access(OWA)를 사용하는 환경에서 특정 조건이 충족될 때 임의의 JavaScript를 브라우저 컨텍스트에서 실행할 수 있어 신원 속임(Spoofing)으로 이어질 수 있다. CISA는 2026-05-15 KEV(Known Exploited Vulnerabilities) 카탈로그에 등록하며 실제 악용 사례가 확인되었고 우선 패치를 강력하게 권고하고 있다. 조치 기한은 2026-05-29이다.

본문

기술적 분석

  • 취약점 유형: Stored XSS(CWE-79)
  • CVSS 3.1: MSRC 8.1(HIGH), NVD 6.1(MEDIUM)
  • AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N (MSRC)
  • AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N (NVD)
  • 영향 범위: Microsoft Exchange Server 2016(모든 CU), 2019(모든 CU), Subscription Edition(SE)
  • 악용 조건:
  • 공격자가 권한 없이 조작된 데이터를 Exchange 웹 인터페이스를 통해 저장
  • 사용자가 해당 데이터를 포함한 웹페이지(OWA)를 열 때 JavaScript 실행
  • 사용자 상호작용 필요(UI:R), 네트워크 접근 가능

위협 시나리오

  1. 사용자 신원 속임: 공격자는 스크립팅/팝업/페이지 수정을 통해 피싱 사이트나 가장 로그인 페이지를 만들어 자격증명 탈취할 수 있다.
  2. 세션 하이재킹: XSS를 통해 세션 쿠키 및 토큰 유출 후 세션 탈취 가능.
  3. 공격 체인 진입: 초기 액세스 권한을 확보한 후 잠재적 추가 공격(이메일 전송, 데이터 유출) 가능.

완화 및 대응 전략

  1. 완화 조치 및 업데이트(우선)
  2. Exchange Emergency Mitigation Service(EEMS) 사용 권장 (기본 활성화)
  3. EEMS가 URL 재작성 구성을 통해 완화 자동 적용
  4. 완화 도구(EOMT) 수동 적용: EOMT.ps1 -CVE "CVE-2026-42897"
  5. 정식 패치 출시 시 MSRC 가이드에 따라 최신 CU/Security Update 적용
  6. Subscription Edition은 최신 버전으로 업그레이드

  7. 패치 적용 후 Exchange 서비스 재시작 필요 (시 시 수행)

  8. OWA 접근 제어(임시)

  9. 패치 미적용 환경에서 OWA 접근을 IP 허용 목록으로 제한
  10. VPN/네트워크 경로를 통한 접근만 허용하며 인터넷에서의 직접 접근 차단

  11. 필요 시 OWA 비활성화 및 Outlook/Mobile 등 클라이언트 사용 권장

  12. 브라우저 보안 강화

  13. CSP(Content Security Policy) 적용으로 인라인 스크립트 차단
  14. XSS 필터링/헤더(X-XSS-Protection 등) 활성화

  15. 사용자 브라우저 확장 프로그램 및 플러그인 최신 상태 유지

  16. 로깅 및 탐지

  17. IIS/Exchange 로그에서 비정상적인 스크립트 패턴(, onerror=, javascript: 등) 검색
  18. WAF(Web Application Firewall)에서 XSS 탐지 규칙 적용 및 알람 설정

  19. SIEM으로 로그 수집 및 경고 생성

  20. 사용자 교육

  21. 의심스러운 이메일/메시지에서 링크 및 첨부파일 클릭 자제
  22. 피싱 후(URL/페이지 미묘한 변경) 인지 훈련
  23. 이상 징후 후 발견 시 즉시 보안팀 신고

결론

CVE-2026-42897은 실제 악용이 확인된 취약점으로, CISA KEV 등재와 함께 우선 패치가 필수적이다. 패치 미적용 환경에서는 OWA 접근 제한, EEMS 완화 도구 적용, 로깅/탐지 등 다층 방어 조치를 즉시 수행해야 한다. 조치 기한(2026-05-29) 내에 완화 및 패치를 완료하여 신원 속임 및 추가 공격 사슬을 차단해야 한다.

참고자료

  1. NVD
    https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2026-42897

  2. MSRC
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897

  3. CISA KEV Catalog
    https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-42897

  4. The Hacker News
    https://thehackernews.com/2026/05/on-prem-microsoft-exchange-server-cve.html

  5. Microsoft Tech Community
    https://techcommunity.microsoft.com/blog/exchange/addressing-exchange-server-may-2026-vulnerability-cve-2026-42897/4518498

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9