이 보고서는 Microsoft Windows 메모장(CVE-2026-20841)에서 발생하는 명령 주입 취약점에 대해 상세히 설명합니다. 이 취약점은 렌더링된 Markdown 파일 내 링크에 대한 부적절한 유효성 검사에서 비롯됩니다. 악용은 사용자가 유해한 링크를 포함하는 조작된 악성 Markdown 파일을 열도록 유도하는 방식으로 이루어집니다. 사용자가 해당 링크를 클릭하면 피해자의 계정 보안 컨텍스트 내에서 임의의 명령이 실행될 수 있습니다. 메모장 응용 프로그램은 파일 확장자가 ".md"인 경우 입력을 토큰화하고 Markdown 파일을 렌더링합니다. 이 취약점은 링크 클릭을 처리하는 함수인 sub_140170F60()에 존재하며, 이 함수는 ShellExecuteExW()를 호출합니다. 충분하지 않은 필터링으로 인해 공격자는 "file://" 및 "ms-appinstaller://" 프로토콜 URI를 사용할 수 있습니다. 이 취약점은 Microsoft에서 2026년 2월에 패치되었습니다. 이 보고서에는 잠재적인 악용 시도를 식별하기 위한 탐지 지침이 포함되어 있습니다. 이 지침은 특정 정규 표현식을 사용하여 ".md" 파일 내의 악성 링크에 대한 트래픽을 모니터링할 것을 제안합니다. 제공된 패치는 링크를 로컬 파일 및 HTTP(S) URI로 제한하며, 이는 오탐으로 이어질 수 있습니다. 보고서는 악용을 위해서는 사용자 상호 작용이 필요하며, 취약점 해결을 위해 패치를 적용할 것을 권장합니다. 이 연구는 TrendAI의 Nikolai Skliarenko와 Yazhi Wang에 의해 수행되었습니다.
sub_140170F60()에 존재하며, 이 함수는ShellExecuteExW()를 호출합니다. 충분하지 않은 필터링으로 인해 공격자는 "file://" 및 "ms-appinstaller://" 프로토콜 URI를 사용할 수 있습니다. 이 취약점은 Microsoft에서 2026년 2월에 패치되었습니다. 이 보고서에는 잠재적인 악용 시도를 식별하기 위한 탐지 지침이 포함되어 있습니다. 이 지침은 특정 정규 표현식을 사용하여 ".md" 파일 내의 악성 링크에 대한 트래픽을 모니터링할 것을 제안합니다. 제공된 패치는 링크를 로컬 파일 및 HTTP(S) URI로 제한하며, 이는 오탐으로 이어질 수 있습니다. 보고서는 악용을 위해서는 사용자 상호 작용이 필요하며, 취약점 해결을 위해 패치를 적용할 것을 권장합니다. 이 연구는 TrendAI의 Nikolai Skliarenko와 Yazhi Wang에 의해 수행되었습니다.