익스체인지 SSRF 취약점 PoC 공개…저권한 계정도 서버 파일 탈취
작성일
CVSS 8.8 익스체인지 SSRF 취약점, PoC 공격코드까지 공개
저권한 계정도 '#' 문자 우회로 서버 내 파일 탈취 가능

마이크로소프트 익스체인지(Microsoft Exchange) 서버에서 발견된 서버 사이드 요청 위조(SSRF, Server-Side Request Forgery) 취약점의 기술적 세부 사항과 개념증명(PoC, Proof-of-Concept) 공격 코드가 공개됐다. 보안 업체 호크트레이스(HawkTrace)가 공개한 이 취약점은 CVE-2026-45504로 지정됐으며 CVSS 점수는 10점 만점에 8.8점으로 '높음(High)' 등급에 해당한다.
이 취약점의 핵심은 인증된 저권한 사용자라도 별도의 추가 권한 없이 서버 내 임의 파일을 읽어낼 수 있다는 점이다. 온프레미스(사내 구축형)로 익스체인지를 운영하는 기업 환경에서 특히 위험도가 높다는 평가가 나온다. 호크트레이스 소속 연구원 바투한 에르(Batuhan Er)가 기술 분석과 함께 실제 동작하는 PoC를 공개하면서, 공격자가 이를 악용해 시스템 설정 파일이나 자격 증명 등 민감 정보에 접근할 가능성이 제기됐다.
취약점은 어디서 시작됐나
문제의 근원은 익스체인지가 첨부파일 미리보기와 셰어포인트(SharePoint) 연동 과정에서 외부 URL을 처리하는 방식에 있다. 구체적으로는 OneDriveProUtilities 컴포넌트 내부의 TryTwice, GetWacUrl 함수, 그리고 이를 보조하는 GetTokenRequestWebResponse 함수가 문제의 지점으로 지목됐다.
이 함수들은 문서 미리보기를 위해 WOPI(Web Application Open Platform Interface, 웹 애플리케이션 오픈 플랫폼 인터페이스) 데이터와 접근 토큰을 가져오는 HTTP 요청을 처리한다. 그런데 WOPI 제공자가 반환하는 WebApplicationUrl 값의 스킴(scheme)을 제대로 검증하지 않은 채 후속 요청을 만드는 데 사용한다는 점이 문제다. TryTwice 함수는 사용자 입력으로 받은 URL을 검증 없이 곧바로 WebRequest.CreateHttp에 전달하고, GetTokenRequestWebResponse는 이 URL을 셰어포인트 REST API 호출로 변환한다.

공격은 어떻게 진행되나
공격은 인증된 사용자가 익스체인지 웹 서비스(EWS, Exchange Web Services)를 이용해 특수하게 조작된 참조 첨부파일(ReferenceAttachment)을 만드는 것에서 시작된다. 이 첨부파일에는 공격자가 통제하는 서버를 가리키는 ProviderEndpointUrl이 포함된다.
피해자가 이 첨부파일을 열거나 미리보기를 시도하면 익스체인지 서버는 백엔드에서 공격자 서버로 요청을 보내 WOPI 메타데이터를 요청한다. 공격자의 서버는 이때 조작된 WebApplicationUrl 값을 응답으로 돌려주는데, 정상적인 HTTP·HTTPS 주소가 아니라 file:///C:/Windows/win.ini 같은 파일 URI를 담는다. 익스체인지는 이 요청에 access_token, access_token_ttl, sc 같은 OAuth 파라미터를 URL 뒤에 덧붙이는데, 원래는 이 과정에서 파일 경로 문법이 깨져 공격이 실패해야 정상이다.
'#' 문자 하나로 뚫리는 파일 경로 검증
연구진이 시연한 우회 방법은 단순했다. WebApplicationUrl 응답값 끝에 프래그먼트 문자(#)를 붙인 file:///C:/Windows/win.ini# 형태로 전달하면, 이후 익스체인지가 덧붙이는 파라미터는 URI 파서에 의해 프래그먼트로 처리돼 무시된다. 결과적으로 익스체인지는 손상되지 않은 file:///C:/Windows/win.ini 경로를 그대로 인식하게 된다.
이렇게 되면 익스체인지 서버는 자신도 모르는 사이 FileWebRequest를 통해 로컬 파일 시스템에 접근하고, 그 내용을 공격자에게 그대로 반환한다. 즉 SSRF 취약점이 임의 파일 읽기(arbitrary-file-read) 공격으로 전환되는 셈이다. 호크트레이스는 이 공격 경로가 익스체인지 OWA(Outlook Web App) 서버 코어의 GetWacAttachmentInfo.ExecuteAsync 함수에서 시작해 첨부파일 처리 로직을 거쳐 이어진다고 설명했다.
기업 환경에 미치는 영향
익스체인지는 이메일과 일정, 연락처 관리를 위해 아웃룩(Outlook) 등의 클라이언트와 연동돼 널리 쓰이는 서버 기반 협업 플랫폼이다. 저권한 계정 하나만 확보하면 서버 내부의 설정 데이터나 자격 증명 같은 민감 파일까지 들여다볼 수 있다는 점에서, 기존에 알려진 단순 SSRF보다 실질적 피해 범위가 넓다는 평가가 나온다.
특히 이번 취약점은 별도의 관리자 권한이나 복잡한 사전 조건 없이, 인증된 일반 사용자 계정만으로도 공격이 가능하다는 점에서 온프레미스 익스체인지를 운영 중인 기업들의 각별한 주의가 요구된다. PoC가 이미 공개된 상황이라 실제 악용 시도로 이어질 가능성도 배제할 수 없다. 기업 보안팀은 관련 시스템의 패치 현황을 점검하고 첨부파일 미리보기 관련 로그를 모니터링하는 등 선제적 대응이 필요한 시점이다.