CVE-2025-21298 OLE Zero-Click RCE 탐지 및 대응

LetsDefend SOC336 - Windows OLE Zero-Click RCE Exploitation Detected (CVE-2025-21298)

Hitanshu Gedam2026년 4월 26일2분intermediate

AI 요약

Context

사용자 상호작용 없이 OLE 객체를 통해 원격 코드 실행이 가능한 CVE-2025-21298 취약점 발생. Office 애플리케이션의 신뢰 프로세스를 악용하여 보안 제어를 우회하는 공격 경로 확인.

Outlook.exe를 Parent Process로 하는 cmd.exe의 비정상적 스폰 과정 추적으로 공격 시점 식별
regsvr32.exe의 /s, /u, /i 플래그 조합을 통한 Squiblydoo 기법 기반의 외부 스크립트let 실행 로직 분석
scrobj.dll을 활용하여 외부 URL(http://84.38.130.118.com/shell.sct)에서 악성 페이로드를 동적으로 로드하는 구조 파악
RTF 파일 내 암호화된 첨부파일과 파일 해시 분석을 통한 VirusTotal 기반의 악성코드 식별
C2 통신 확인 즉시 해당 호스트를 네트워크에서 격리하여 추가 확산을 방지하는 대응 체계 적용

실천 포인트

- Office 애플리케이션 하위에서 cmd.exe, powershell.exe 등 쉘 프로세스 실행 여부 모니터링 - regsvr

2.exe가 외부 URL을 인자로 받아 scrobj.dll을 호출하는 패턴의 EDR 탐지 룰 설정 - RTF 등 OLE 지원 문서 파일의 유입 경로와 실행 프로세스 트리를 연결하는 상관관계 분석 수행

태그