기술 설명
CISA는 2026년 5월 20일, 활성 악용의 증거를 바탕으로 일곱 가지 취약점을 Known Exploited Vulnerabilities (KEV) 카탈로그에 추가했다. 다섯 가지는 2008-2010년의 레거시 결함이다: CVE-2008-4250 (Microsoft Windows 버퍼 오버플로우, Conficker 웜과 관련된 MS08-067), CVE-2009-1537 (QuickTime 파서의 Microsoft DirectX NULL 바이트 덮어쓰기), CVE-2009-3459 (Adobe Acrobat/Reader 힙 기반 버퍼 오버플로우), CVE-2010-0249 및 CVE-2010-0806 (둘 다 Internet Explorer 사용 후 해제 취약점). 두 가지는 현재 Microsoft Defender 결함이다: CVE-2026-41091 (권한 상승) 및 CVE-2026-45498 (서비스 거부). CISA에 따르면, 이러한 취약점은 상당한 위험을 야기하며 현재 적극적으로 악용되고 있다. 연방 기관의 재해 결정 기한은 2026년 6월 3일이다.
공격 경로
레거시 취약점: 조작된 RPC를 통한 원격 코드 실행 (CVE-2008-4250), 악성 QuickTime 미디어 파일 (CVE-2009-1537), PDF 악용 (CVE-2009-3459), 드라이브 바이 브라우저 공격 (CVE-2010-0249, CVE-2010-0806). 현재 Defender 결함: 로컬 권한 상승 (CVE-2026-41091) 및 서비스 거부 (CVE-2026-45498). 2008-2010년 버그의 포함은 공격자들이 지원되지 않는 Windows (2000, XP, Server 2003), 임베디드 장치, 오래된 가상 머신, 산업용 장비, 배지 시스템, 랩 계기, 키오스크 이미지, 또는 잊혀진 부서 서버를 실행하는 도달 가능한 시스템을 찾고 있음을 시사한다. Defender 결함은 보안 도구 자체가 영향 범위의 일부가 되었음을 나타낸다.
영향받는 시스템
Windows 2000, Windows XP, Windows Server 2003 (레거시 CVE); Internet Explorer 6-8 (레거시); 2009년 Adobe Reader/Acrobat 버전; Microsoft Defender (현재 CVE). 위험에 처한 시스템에는 잊혀진 또는 패치되지 않은 Windows 엔드포인트, 운영 기술 (OT) 환경, 임베디드 시스템, 공급업체 관리 어플라이언스, 레거시 키오스크, 및 Defender에 의존하는 모든 Windows 기반 보안 또는 모니터링 도구가 포함된다. AI 인프라 팀은 ML 파이프라인 구성 요소, 컨테이너 호스트, 엣지 장치, 또는 CI/CD 러너가 영향을 받는 Windows 버전 또는 Defender를 실행하고 있는지 감시해야 한다.
완화 방안
공급업체 패치를 즉시 적용하라: 레거시 시스템용 Microsoft 보안 업데이트 (연장된 지원 계약에 따라 여전히 지원되는 경우) 및 현재 Defender 패치. 지원되지 않는 시스템 (Windows 2000/XP/Server 2003)의 경우, 프로덕션 네트워크에서 격리하거나 교체하라. 모든 Windows 엔드포인트, OT 환경, 임베디드 장치, 및 공급업체 관리 어플라이언스에서 취약한 버전을 감시하라. 연방 기관: 2026년 6월 3일까지 재해하라. 조직은 KEV 추가를 백로그 항목이 아닌 즉각적인 운영 신호로 취급해야 한다—CISA의 포함 기준은 활성 악용의 증거를 요구한다.