"WebDAV 제로데이"가 모든 Windows에 직격탄 ── CVE-2025-33053의 위험성과 지금 당장 취해야 할 대책【철저 해설】

"WebDAV 제로데이"가 모든 Windows에 직격탄 ── CVE-2025-33053의 위험성과 지금 당장 취해야 할 대책【철저 해설】

2025年06月11日 18:00

1. 소개

2025년 6월 10일(일본 시간 11일 새벽), 마이크로소프트는 66개의 취약점을 수정하는 월례 패치를 공개했습니다. 그중 유일하게 "악용을 확인"이라고 명기된 것이 WebDAV의 CVE-2025-33053입니다.techtarget.combleepingcomputer.com



WebDAV는 오래전부터 파일 공유 및 그룹웨어에서 사용되어 온 HTTP 확장 기능이지만, 최근에는 클라우드 스토리지나 백업 제품에도 통합되어 여전히 많은 기업 시스템에서 운영되고 있습니다. 본고에서는 취약성의 기술적 세부 사항부터 실무 대책까지 포괄적으로 해설합니다.




2. WebDAV란 무엇인가 ― 역사와 용도

WebDAV(RFC 4918)는 HTTP를 확장하여 웹 서버상의 파일을 원격으로 관리할 수 있는 프로토콜입니다. 1990년대 후반에 제안되었으며, Exchange Server 2003 이전의 메일박스 접근 수단으로도 채택되었습니다. 현재는



  • 온프레미스/클라우드 파일 공유

  • DMS(문서 관리 시스템)의 버전 관리

  • 백업 어플라이언스의 리포지토리

  • 모바일 앱의 데이터 동기화
    등 다양한 용도로 생존하고 있습니다.securitybrief.co.nz




3. 취약점 CVE-2025-33053 개요

항목내용
CVE 번호CVE-2025-33053
중요도CVSS 8.8(중요/Important)
유형원격 코드 실행(RCE)
영향 범위Windows 10/11, Windows Server 2016 이후, WebDAV 모듈을 활성화한 IIS・Apache・Nginx 등
조건특별히 조작된 WebDAV URL 또는 .url 파일을 사용자가 열 때
악용 상황APT 〝Stealth Falcon〟에 의한 표적형 공격을 확인
임시 대책WebClient 서비스 중지/WebDAV 기능 삭제



본 결함은 WebDAV의작업 디렉토리 조작에 기인하며, 공격자가 원격 서버상의 악성 실행 파일을 피해 단말기에 로드할 수 있습니다.research.checkpoint.com
사용자는 정규의 진단 도구 iediagcmd.exe 등을 호출하는 바로가기를 열기만 해도 감염되며, 백그라운드에서 침입 체인이 진행됩니다.




4. 공격 체인과 "Stealth Falcon" 사례

Check Point Research는 2025년 3월, 터키의 방위 기업에 대한 피싱 공격을 분석하여, 본 취약점을 이용한 미지의 Horus Loader를 발견했습니다. 공격 흐름은 다음과 같습니다.research.checkpoint.com


  1. .url 파일을 첨부한 스피어피싱 이메일 전송

  2. URL을 열면 WorkingDirectory가 공격자 WebDAV 서버로 변경

  3. 정규 도구가 동일 서버상의 위장 route.exe를 실행

  4. Horus Loader가 다단계 디코딩으로 Horus Agent를 Edge 프로세스에 인젝션

  5. Horus Agent가 C2와 통신하여 정보 탈취 및 추가 페이로드 전개


Stealth Falcon은 중동 및 북아프리카의 정부 기관을 지속적으로 감시해온 APT로, 제로데이 구매 및 자체 제작 악성코드 사용 이력이 길다고 보고되고 있습니다.




5. 영향을 받는 제품 및 버전

  • Windows 클라이언트: Windows 10 22H2, Windows 11 23H2 등 지원 중인 모든 계열

  • Windows Server: Server 2016/2019/2022/2025

  • IIS(WebDAV 확장 활성화)

  • Apache mod_dav / Nginx WebDAV modules / SabreDAV 등 프로토콜 구현 라이브러리

  • 클라우드 스토리지: Nextcloud, ownCloud 등 WebDAV API 제공 서비스
    이들은 모두 MSRC의 업데이트 프로그램 대상이거나 CISA의 KEV 카탈로그에 "영향 가능성 있음"으로 열거되어 있습니다.cisa.govcrowdstrike.com




6. 악용 상황과 제로데이의 경위

TechTarget 및 BleepingComputer의 분석에 따르면, CVE-2025-33053은 패치 공개 전부터 실제로 악용되고 있으며, 클릭 한 번으로 페이로드가 실행되는 점이 평가 기준을 "중요"에서 실질적으로 "크리티컬 상당"으로 끌어올리고 있습니다.techtarget.combleepingcomputer.com
Microsoft가 마지막으로 WebDAV 관련 제로데이를 공개한 것은 2018년으로, 약 7년 만의 재점화가 되었습니다.securitybrief.co.nz




7. 마이크로소프트의 패치 내용과 적용 절차

  • Windows Update/WSUS/MECM:2025-06 누적 업데이트 프로그램(KB5060999 등)에 포함됨

  • 보안 전용 패치 노선(Server 2012 R2 ESU 등):OS 업데이트+IE(MSHTML)패치 둘 다 필수

  • 재부팅 요구사항:패치 적용 후 시스템 재부팅이 필요
    적용 확인은 winverwmic qfe list에서 KB 번호를 확인합니다. 패치 적용 전후로 WebClient 서비스의 자동 시작 설정이 돌아갈 수 있으므로, 이미 수동으로 중지한 환경은 정책으로 고정하면 안전합니다.techtarget.comrapid7.com




8. 지금 바로 할 수 있는 긴급 회피책

  1. WebClient 서비스 중지

    powershell
    Stop-Service -Name WebClient
Set-Service  -Name WebClient -StartupType Disabled

    이로 인해 URL 형식의 WebDAV 호출을 비활성화할 수 있습니다.rapid7.com

  2. IIS/Apache/Nginx에서 불필요한 WebDAV 모듈 비활성화

  3. SMTP 게이트웨이에서 .url 첨부 파일 차단

  4. EDR에서 zedocmd.exe, iediagcmd.exe 등 LOLBin 실행 감시

  5. 그룹 정책에서 외부 WebDAV 마운트 금지

  6. 침해 지표(IoC) 사냥

    • WebDAV 경로 \\<domain>@ssl@443/DavWWWRoot\* 에 대한 액세스 로그

    • Horus Loader의 Code Virtualizer 서명(시리얼 없음)




9. 중장기적으로 요구되는 보안 강화 포인트

  • 프로토콜 재고: 레거시 WebDAV 의존을 제거하고, SMB over HTTPS나 S3 API 등 현대적인 대체 수단으로 전환

  • 최소 권한의 철저한 적용: 파일 공유 서버는 분리된 네트워크에 배치하고, 인증을 OAuth2/OpenID Connect로 통일

  • 마이크로서비스화: 공유 기능을 게이트웨이로 래핑하여 개별 서비스에 직접 노출하지 않음

  • 취약점 관리 라이프사이클 단축: SBOM과 지속적인 스캔으로 미패치 장비를 48시간 이내에 감지 및 수정

  • 보안 연습: DevSecOps 팀에 WebDAV 경유의 공급망 침해 시나리오를 포함하여 대응력을 검증

  • IoC 자동 공유: MISP/TAXII를 통한 조직 내외의 Horus Agent 해시 및 C2 리스트 실시간 전파




10. 요약 및 향후 전망

CVE-2025-33053은 "오래된 프로토콜에서도 제로데이는 발생할 수 있다"는 것을 다시 한번 보여주었습니다. WebDAV를 직접 사용하지 않는 기업에서도 클라우드 스토리지나 백업 장비가 백그라운드에서 이를 사용할 수 있습니다. 마이크로소프트의 패치 적용은 물론, 서비스 중단 및 로그 감시와 같은 즉각적인 방어를 지금 바로 실행하고, 장기적으로는 레거시 프로토콜의 폐지와 제로 트러스트로의 전환이 필수적입니다. 영향 범위가 넓기 때문에 PoC 코드의 공개나 변종 공격의 등장도 예상되므로, 계속해서 공식 정보와 위협 인텔리전스를 주시해야 합니다.golem.debleepingcomputer.com






참고 기사 목록

  • Golem.de「Nutzer gefährdet: WebDAV-Lücke in Windows wird aktiv ausgenutzt」(2025-06-10)golem.de

  • TechTarget「June Patch Tuesday resolves Windows zero-day」(2025-06-10)techtarget.com

  • Check Point Research「CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage」(2025-06-10)research.checkpoint.com

  • BleepingComputer「Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws」(2025-06-10)bleepingcomputer.com

  • CISA「Known Exploited Vulnerabilities Catalog – CVE-2025-33053」(2025-06-10)cisa.gov

  • Rapid7 Blog「Patch Tuesday – June 2025」(2025-06-10)rapid7.com

  • Tenable Blog「Microsoft’s June 2025 Patch Tuesday addresses 65 CVEs」(2025-06-10)tenable.com##



사용자가 위험에 처하다: Windows의 WebDAV 취약점이 적극적으로 악용됨
출처: https://www.golem.de/news/nutzer-gefaehrdet-webdav-luecke-in-windows-wird-aktiv-ausgenutzt-2506-197011.html

← 기사 목록으로 돌아가기