CVE-2026-32190 Microsoft Office UAF
2026-04-14 Microsoft Patch Tuesday에 Microsoft Office의 use-after-free 취약점인 CVE-2026-32190가 포함됐다. 같은 날 공개된 Cisco Talos와 The Hacker News 정리에서는 이 항목을 로컬 코드 실행 가능성이 있는 이슈로 다뤘다.
2026-04-14 Microsoft Patch Tuesday에 Microsoft Office의 use-after-free 취약점인 CVE-2026-32190가 포함됐다. 같은 날 공개된 Cisco Talos와 The Hacker News 정리에서는 이 항목을 로컬 코드 실행 가능성이 있는 이슈로 다뤘다.
핵심 정보
| 항목 | 공개 자료 기준 | 비고 |
|---|---|---|
| CVE | CVE-2026-32190 | Microsoft Office 관련 |
| 취약점 유형 | use-after-free | 메모리 수명 관리 이슈 |
| 영향 | 로컬 코드 실행 가능성 | RCE로 단정하지 않음 |
| 공개 시점 | 2026-04-14 | Patch Tuesday 포함 |
| 후속 분석 공개일 | 2026-04-14 | Cisco Talos, The Hacker News |
| 실제 악용 여부 | 확인되지 않음 | 추정 금지 |
| 세부 영향 버전 | 공개 요약만으로 제한적 | Microsoft advisory 확인 필요 |
Warning
외부 문서를 자주 다루는 사용자군, 메일 첨부를 많이 여는 부서, VDI와 공용 단말을 먼저 본다.
취약점 개요
CVE-2026-32190는 Microsoft Office에서 발생할 수 있는 use-after-free 취약점이다. 공개 요약 기준 영향은 로컬 코드 실행 가능성으로 정리된다. 해제된 객체를 다시 참조하는 흐름이 핵심이어서, 문서 처리 과정에서 비정상 동작이나 코드 실행으로 이어질 여지가 있다.
- 확인됨: 2026-04-14 패치 라운드 포함
- 확인됨: 취약점 유형은 use-after-free
- 확인됨: 공개 요약 기준 영향은 로컬 코드 실행 가능성
- 미확인: 문서 형식별 트리거 조건
- 미확인: 정확한 영향 버전과 SKU 전체 목록
- 미확인: 사용자 상호작용 필요 여부의 세부 조건
영향 범위
영향 범위는 넓게 보면 Microsoft Office가 설치된 Windows 엔드포인트다. 다만 정확한 제품군과 버전은 Microsoft advisory와 NVD의 개별 매트릭스를 직접 맞춰봐야 한다. 공개 요약만으로 특정 에디션이나 채널을 안전 구간으로 단정하면 안 된다.
이 유형은 네트워크 경계 장비보다 엔드포인트 운영과 더 가깝다. 메일, 브라우저 다운로드, 협업 도구 첨부 파일, 파일 공유 경로가 문서 유입의 주요 축이 된다.
대응 포인트
- 2026-04-14 이후 배포된 Office 보안 업데이트 적용 여부를 먼저 확인한다.
- 외부 문서를 많이 처리하는 사용자군과 공용 단말을 앞단에 둔다.
- Protected View, Application Guard, ASR 규칙의 실제 적용 범위를 다시 본다.
- 패치 전 공백이 남는 자산은 고위험 문서 유입 경로를 임시로 줄인다.
- EDR에서 Office 프로세스 뒤에 붙는 비정상 자식 프로세스와 스크립트 호출을 묶어서 본다.
- 세부 exploit chain이 공개되지 않은 상태이므로, 과도한 차단보다 패치 적용률과 행위 기반 탐지가 더 중요하다.
탐지 포인트
네트워크
- 메일 첨부, 웹 다운로드, 협업 플랫폼 링크처럼 문서 유입 경로를 먼저 묶는다.
- Office 문서 열기 직후 외부 도메인 접속이나 추가 파일 다운로드가 이어지는지 본다.
- 프록시와 메일 게이트웨이 로그는 문서 전달 경로 확인용으로 쓴다.
엔드포인트
- Office 프로세스에서 스크립트 인터프리터나 LOLBin으로 이어지는 체인을 본다.
- 문서 열기 직후 비정상 자식 프로세스가 붙는지 확인한다.
- 아래 쿼리는 CVE-2026-32190를 직접 식별하는 시그니처가 아니라, 1차 헌팅용 범용 패턴이다.
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("WINWORD.EXE","EXCEL.EXE","POWERPNT.EXE","OUTLOOK.EXE")
| where FileName in~ ("powershell.exe","cmd.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","regsvr32.exe")
| project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine
| order by Timestamp desc
서버
- Office가 설치된 RDS, VDI 세션 호스트, 점프박스의 문서 처리 로그를 함께 본다.
- 파일 서버와 협업 저장소는 취약점 실행 지점이 아니라 문서 전달 경로 확인용으로 본다.
- 서버 측에서는 실행 흔적보다 배포 경로와 사용자 세션 연결성을 먼저 묶는 편이 낫다.
자산 식별
아래 예시는 Windows 자산에서 Office 설치 흔적을 수집하는 용도다. 실제 영향 판정은 Microsoft advisory의 영향 버전 정보와 대조해야 한다.
$paths = @(
'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*',
'HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*'
)
Get-ItemProperty $paths |
Where-Object {
$_.DisplayName -match 'Microsoft (Office|365|Visio|Project|Access|Word|Excel|PowerPoint|Outlook)'
} |
Select-Object DisplayName, DisplayVersion, Publisher |
Sort-Object DisplayName
참고 자료
- Cisco Talos: Microsoft Patch Tuesday for April 2026
- The Hacker News: Microsoft Issues Patches for SharePoint and Other Flaws in April 2026
- Microsoft Security Update Guide: CVE-2026-32190
- NVD: CVE-2026-32190