피드로 돌아가기
Microsoft's patch for a 0-day exploited by Russian spies fell short. Another Windows flaw is under attack
The RegisterThe Register
Security

불완전한 Patch로 인한 Authentication Coercion 취약점 재발

Microsoft's patch for a 0-day exploited by Russian spies fell short. Another Windows flaw is under attack

Jessica Lyons2026년 4월 29일2advanced

Context

CVE-2026-21510 취약점 해결을 위해 도입된 Patch가 Remote Code Execution 및 SmartScreen Bypass는 차단했으나, 인증 검증 로직의 허점을 남긴 상태. Path Resolution과 Trust Verification 사이의 간극으로 인해 Zero-click 기반의 Net-NTLMv2 Hash 유출 경로가 유지된 구조적 한계.

Technical Solution

  • CVE-2026-21513과 CVE-2026-21510을 Chaining하여 Defender SmartScreen을 우회하는 공격 벡터 차단
  • 초기 Patch를 통한 Remote Code Execution 경로의 물리적 차단 구현
  • Auto-parsed LNK 파일 처리 과정에서 발생하는 Authentication Coercion 취약점 식별
  • Victim Machine이 Attacker Server로 인증 정보를 자동 전송하는 비정상적 인증 흐름 분석
  • Net-NTLMv2 Hash 탈취를 통한 사용자 권한 획득 및 내부 네트워크 Snoop 경로 제거를 위한 추가 수정 적용

1. Security Patch 적용 후 Regression Test 단계에서 단순 기능 복구가 아닌 Edge Case 기반의 보안 검증 수행

2. 외부 입력(LNK 파일 등) 처리 시 Path Resolution 단계에서 신뢰할 수 없는 엔드포인트로의 자동 인증 여부 전수 조사

3. CVE Chaining 가능성을 고려하여 개별 취약점 해결 후 전체 공격 시나리오에 대한 End-to-End 검증 실시

원문 읽기