[마이크로소프트 SharePoint] ‘ToolShell’ 제로데이·웹쉘 공격으로 글로벌 온프레미스 서버 침해_2025년 07월
제로데이 CVE‑2025‑53770, 53771 exploit · 웹쉘(spinstall0.aspx) 배포 … 온프레미스 SharePoint 서버 집중 피해

□ 개요
2025년 7월, Microsoft SharePoint 온프레미스 서버에서 CVE‑2025‑53770 (RCE) 및 CVE‑2025‑53771 (Spoofing) 제로데이 취약점이 ‘ToolShell’ 익스플로잇 체인으로 악용되어 수십여 국가의 공공·민간 기관 서버가 공격받았다. 공격자는 인증 우회 후 웹쉘을 주입하고 cryptographic keys 탈취, 내부망 장악, 랜섬웨어 유포까지 수행한 정황이 확인되며, SharePoint Online(M365) 환경은 피해에서 제외됨을 Microsoft가 공식 발표했다.
□ 사고내용 요약
1. 회사명/대상 : 온프레미스 SharePoint Server (Subscription Edition, 2019, 2016) 운영 조직
2. 사고유형 : 사회공학 기반 Referer 헤더 Spoofing + Unsafe deserialization을 이용한 인증 우회 및 원격 코드 실행(WebShell 업로드)
3. 영향범위 : 약 75~400건 이상 서버 침해 확인, 정부기관·교육·에너지·의료 등 다양 산업 영향
4. 공격자 그룹 : 중국계 APT 그룹(Linen Typhoon, Violet Typhoon, Storm‑2603) 연루
5. 유출/악용항목 : 공격자에 의한 쉘 설치, 내부망 탐색 및 lateral movement
- 웹쉘 파일 (ex: spinstall0.aspx)
- ASP.NET MachineKey(ValidationKey, DecryptionKey) 탈취 → ViewState forging
- 내부 문서 유출, 랜섬웨어(예: Warlock, 4L4MD4R) 배포 등
□ 공격 패턴 및 웹쉘 정보
1. 접근 경로: /_layouts/15/ToolPane.aspx?DisplayMode=Edit
2. Spoofing 인증창비우기: Referer: /_layouts/SignOut.aspx 헤더 조작으로 인증 우회
3. 업로드 결과: spinstall0.aspx 웹쉘 파일 생성 → 암호화 키 탈취 → 이후 __VIEWSTATE 변조 요청으로 RCE 달성 (ysoserial 등 사용)
□ 웹서버 로그 탐지 방법
1. IIS 로그 cs-uri-stem 필드에 /layouts/15/ToolPane.aspx 또는 .aspx 웹쉘 접근 흔적
2. Referer 이상 값 (/_layouts/SignOut.aspx) 포함 POST 요청 감지
3. spinstall0.aspx 반복 다운로드 혹은 실행 흔적, w3wp.exe 통한 cmd, powershell 실행 추적 등
4. EventLog 또는 보안솔루션 분석으로 ViewState 기반 명령 실행 흔적 확인 가능

□ 취약점 정보 (CVE 요약)
- 두 CVE는 2025년 7월 Microsoft 긴급 게시판 및 CISA에 의해 명시적으로 보고 됨
| CVE 번호 | 유형 | CVSS | 설명 |
| CVE‑2025‑53770 | RCE (deserialization) | 9.8 | Referer spoofing + unsafe deserialization 기반 원격 코드 실행 가능(nvd.nist.gov, wiz.io) |
| CVE‑2025‑53771 | Spoofing | 6.3 | 인증 우회 취약점, ToolPane.aspx 접근 기반(Qualys, ncsc.gov.uk) |
□ 온프레미스 vs 클라우드 환경 구분
| 항목 | 온프레미스 | SharePoint SharePoint Online (M365) |
| 취약점 영향 | O (직접 감염 사례 존재) | X (영향 없음, Microsoft 조회 확인)(nvd.nist.gov) |
| 패치 방식 | 수동 KB 패치 필요 (2016/2019/Subscr.) | 보안패치 자동 적용 |
| 탐지 방법 | IIS 로그 분석, 웹쉘 탐지 | Microsoft Defender Portal 자동 탐지 |
| 대응 복구 | 키 재설정, 웹쉘 제거 후 재보안 | 계정 감시 및 MFA 권고 등 |
□ 조치 및 대응 방안
1. 패치 적용
- Subscription Edition → KB5002768
- Server 2019 → KB5002754
- Server 2016 → KB5002760 (후속)
2. 키 회전 및 AMSI 활성화
- ASP.NET MachineKey 변경 및 ViewState 서명 재설정
- AMSI 활성화 후 Defender Antivirus 설치
3. IPS/WAF 적용
- IPS/WAF 신슈 시그니처 업데이트
4. 격리 및 네트워크 분리
- 외부 공개된 SharePoint 서버는 즉시 인터넷 격리 또는 VPN 접속으로 전환
5. 사후 대응
- 웹쉘 존재 여부 탐지, 포렌식 조사, 백업 데이터 복원 계획
- 랜섬웨어 대응 및 2차 피해 방지를 위한 권고 사용자 안내
□ 해킹대응 타임라인
- 2025년 7월 18일: ToolShell 공격 탐지 및 최초 침해 확인 (Eye Security 보고)
- 2025년 7월 20일: CISA ‘Known Exploited Vulnerabilities’ 목록에 CVE-2025-53770 등 등재
- 2025년 7월 21일: Microsoft 긴급 패치 발표 및 사용 권고 (Subscription Edition, 2019)
- 2025년 7월 22일~23일: 정부·공공기관 피해확인 (NNSA, DHS, NIH 등)
- 2025년 7월 31일: 랜섬웨어 전환 사례 및 400개 이상 서버 피해 확인 경고 발표
□ 대응내역 요약
- 웹쉘 설치 경로 탐지 및 spinstall0.aspx 제거
- MachineKey 및 ViewState 서명키 회전 완료
- Patch 적용 및 Defender + AMSI 설정 적용
- 로그 기반 이상행위 탐색 및 lateral movement 탐지
- 보안 교육 강화, ZTNA 도입 및 퍼징 방지 강화
□ 관련기사(출처)
- SharePoint-ageddon attacks riddled with free Warlock ransomware - and thousands of services could be compromised - techradar
- US agency overseeing nuclear weapons breached in Microsoft SharePoint attack - windowscentral
- Microsoft releases emergency security updates to fix SharePoint zero-day flaws — everything you need to know - tomsguide
감사합니다.