최근 전 세계 사용자가 사용하는 WinRAR에서 원격코드실행 취약점(CVE-2018-20250)이 발견되었습니다. 이 취약점은 19년동안 존재했던 것으로 확인되었습니다.
Check Point 연구원에 따르면, 이번 취약점은 UNACEV2.dll 코드 라이브러리 중 존재한다고 밝혔습니다.
이 코드 라이브러리는 ace형식을 압축 해제할때 사용되는 것으로, 이 압축방식은 20세기 90년대로 거슬러 올라갈 수 있습니다.
공격자는 악성 ace 파일을 제작한다. 만약 사용자가 WinRAR을 통하여 압축을 해제할 경우, UNACEV2.dll중의 경로 트래버셜 취약점 툴을 공격자가 원하는 경로에 압축 해제할 수 있습니다. 연구원은 악성 ACE 파일을 시작폴더중에 압축 해제하여, 시스템이 켜질 때 마다 실행되도록 시도해보았습니다.
1. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
2. C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
첫 번째 Startup 폴더 중, WinRAR은 높은 권한을 갖고 있어야만 접근이 가능하며, WinRAR은 기본적으로 접근이 불가능합니다. 또한 두 번째 Startup 폴더는, 사용자 명만 안다면 완전한 경로를 알 수 있는데 이는 스피어피싱이나 기타 다른 방식을 이용하여 비교적 쉽게 알아낼 수 있습니다.
<이미지 출처 : https://research.checkpoint.com/extracting-code-execution-from-winrar/>
간단히 말해서, 이 취약점은 보안 연구원이 악성파일을 직접 Windows 시작 폴더에 넣도록 허용을 하였고, 바로 권한상승을 통하여 WinRAR을 실행할 수 있도록 허용하였습니다. 만약 이렇게 된다면 악성코드는 사용자의 컴퓨터가 켜질 때마다 자동으로 실행되게 되며, 이는 사용자 PC를 공격자의 컨트롤을 받도록 허용하게 됩니다.
연구원은 WinRAR에 해당 취약점에 대해 보고하였습니다.
WinRAR은 현재 ACE 형식파일 압축해제시 사용하는 UNACEV2.DLL을 업데이트 할 수 없어, ACE 형식에 대한 지원을 종료하기로 하였습니다.
현재 최신 버전의 WinRAR (v.5.70 beta 1)은 ACE 형식을 지원하지 않는 형식으로 패치가 진행되었습니다.
그렇기 때문에 이전 버전의 WinRAR을 사용하는 사용자여러분들께서는, 최신 버전으로 업데이트 해주셔야 합니다.
출처 :
https://research.checkpoint.com/extracting-code-execution-from-winrar/
랜섬웨어 호주 카브리니 심장 병원 환자 의료 기록 암호화 (0) | 2019.02.22 |
---|---|
마이너 확산, 데이터 탈취를 위해 트로이목마와 툴을 조합하는 새로운 공격 키트 발견 (0) | 2019.02.22 |
워드프레스에서 6년 된 치명적인 취약점 발견 돼 (0) | 2019.02.21 |
갠드크랩 5.1 복호화 툴 출시, 새로운 변종 갠드크랩 5.2도 발견돼 (0) | 2019.02.20 |
500px홈페이지 , 1480만명의 사용자 정보유출사건 발생 (0) | 2019.02.19 |
댓글 영역