목차
2025년 9월 Patch Tuesday(9월 9일 릴리스)는 Microsoft가 총 81개의 취약점을 패치한 업데이트입니다. 이 중 Critical 수준이 9개, Important가 71개, Moderate가 1개로 분류되며, 주요 취약점 유형으로는 권한 상승(Elevation of Privilege, 약 41개), 원격 코드 실행(Remote Code Execution, 22개), 정보 유출(Information Disclosure, 16개), 서비스 거부(Denial of Service, 3개), 보안 기능 우회(Security Feature Bypass, 2개), 스푸핑(Spoofing, 1개) 등이 있습니다. 이번 업데이트에는 공개된 zero-day 취약점 2개(CVE-2025-55234, Windows SMB 권한 상승; CVE-2024-21907, SQL Server Newtonsoft.Json DoS)가 포함되었으며, 적극적 악용 사례는 없으나 NTLM 관련 CVE-2025-54918 등 여러 Critical 취약점이 Exploitation More Likely로 평가되었습니다. 영향을 받는 제품은 Windows 운영체제, Office, Azure, SQL Server 등이며, SMB 서버 강화(SMB Signing 및 EPA 활성화)를 권장하나 호환성 문제를 사전 감사합니다. 릴리스 후 RDP 연결 문제, 설치 지연 등의 알려진 이슈가 보고되었습니다.
업데이트된 운영체제 목록
패치가 적용된 주요 운영체제(대부분 Windows 10 이상 버전 영향):
| 운영체제 | 상세 |
|---|---|
| Windows 11 | 버전 24H2, 23H2 등 지원 에디션 |
| Windows 10 | 버전 22H2 등 지원 에디션 |
| Windows Server 2025 | 모든 지원 에디션 |
| Windows Server 2022 | 모든 지원 에디션 |
| Windows Server 2019 | 모든 지원 에디션 |
Hyper-V, Kernel, Graphics Component, NTFS 등의 Windows 시스템 컴포넌트가 업데이트되었습니다.
업데이트된 애플리케이션 목록
패치가 적용된 주요 애플리케이션 및 컴포넌트:
| 애플리케이션/컴포넌트 | 상세 |
|---|---|
| Microsoft Office | Excel, PowerPoint, SharePoint, Visio, Word 포함 (RCE 취약점 다수) |
| Azure | Networking, Bot Service, Entra, Arc, Connected Machine Agent |
| Microsoft SQL Server | Newtonsoft.Json 관련 DoS 취약점 |
| Windows Hyper-V | RCE 및 EoP 취약점 |
| Windows Graphics Component | RCE 및 EoP |
| Windows NTLM | EoP |
| 기타 | Dynamics 365, Xbox, Microsoft Edge, Windows SMB, BitLocker, Bluetooth Service, Imaging Component, Kernel, NTFS, PowerShell, Routing and Remote Access Service 등 |
패치된 CVE 목록
Critical 수준 CVE 목록
아래 테이블은 모든 Critical CVE(9개)를 나열하며, ID, 제목, CVSS 점수(사용 가능 시), 유형, 설명, 영향 받는 제품을 포함합니다. 대부분 RCE 또는 EoP로, 로컬 또는 네트워크를 통해 악용 가능.
| CVE ID | 제목 | CVSS 점수 | 유형 | 설명 | 영향 받는 제품 |
|---|---|---|---|---|---|
| CVE-2025-54914 | Azure Networking Elevation of Privilege Vulnerability | N/A | EoP | 인증된 공격자가 권한 상승 가능. | Azure Networking |
| CVE-2025-55244 | Azure Bot Service Elevation of Privilege Vulnerability | N/A | EoP | 인증된 공격자가 권한 상승. | Azure Bot Service |
| CVE-2025-55241 | Azure Entra Elevation of Privilege Vulnerability | N/A | EoP | 인증된 공격자가 권한 상승. | Azure Entra |
| CVE-2025-55236 | Graphics Kernel Remote Code Execution Vulnerability | N/A | RCE | 레이스 컨디션으로 로컬 코드 실행. | Graphics Kernel |
| CVE-2025-55226 | Graphics Kernel Remote Code Execution Vulnerability | N/A | RCE | 레이스 컨디션으로 로컬 코드 실행. | Graphics Kernel |
| CVE-2025-54910 | Microsoft Office Remote Code Execution Vulnerability | 8.4 | RCE | 힙 버퍼 오버플로로 악성 문서 열기 시 RCE; Preview Pane 트리거 가능. | Microsoft Office |
| CVE-2025-53800 | Windows Graphics Component Elevation of Privilege Vulnerability | N/A | EoP | 로컬 권한 상승. | Windows Graphics Component |
| CVE-2025-55224 | Windows Hyper-V Remote Code Execution Vulnerability | 7.8 | RCE | 레이스 컨디션으로 게스트에서 호스트 RCE. | Windows Hyper-V |
| CVE-2025-55228 | Windows Graphics Component Remote Code Execution Vulnerability | N/A | RCE | 레이스 컨디션으로 로컬 코드 실행. | Windows Graphics Component |
| CVE-2025-54918 | Windows NTLM Elevation of Privilege Vulnerability | 8.8 | EoP | 부적절한 인증으로 네트워크 기반 SYSTEM 권한 상승; Exploitation More Likely. | Windows NTLM |
Critical 외 CVE 요약
- 총 수: 72개 (Important 71개, Moderate 1개).
- 주요 유형 및 예시 (공개된 정보 기반):
- Elevation of Privilege: 38~41개 추가 (예: CVE-2025-54098, Hyper-V EoP, CVSS 7.8, 로컬 SYSTEM 권한 상승; CVE-2025-54115, Hyper-V EoP).
- Remote Code Execution: 15~22개 추가 (예: CVE-2025-54897, SharePoint RCE; Excel 내 7개 RCE: CVE-2025-54896 등 use-after-free).
- Information Disclosure: 14~16개 (예: CVE-2025-53799, Windows Imaging Component, 초기화되지 않은 리소스 유출).
- Denial of Service: 3~4개 (예: CVE-2024-21907, zero-day, SQL Server 스택 오버플로 DoS).
- Security Feature Bypass: 2개 (예: CVE-2025-53791, Edge 보안 우회, Moderate).
- Spoofing: 1개.
- zero-day: CVE-2025-55234 (Important, CVSS 7.5, Windows SMB EoP, 공개됨, PoC 존재, 릴레이 공격으로 권한 상승; SMB Signing/EPA 권장); CVE-2024-21907 (Important, SQL Server 내 Newtonsoft.Json 예외 처리 DoS, 공개됨).
- 대부분 Important 수준으로, Windows Kernel, Hyper-V, UI XAML 등에 분포. Exploitation 가능성 낮으나, zero-day 및 Hyper-V 관련 취약점 우선 패치 권장. 알려진 문제: RDP 연결 실패, 설치 지연(30-45분), Edge 팝업 등.