[소만사 악성코드 분석리포트 ] WinRAR 원격코드 실행 취약점
전 세계 약 5억 명이 사용하는 압축 프로그램에서 취약점 발견, CVSS(공통 취약점 등급 시스템) 위험도 최고점 10점 중 7.8점 평가
1. 요약
1) WinRAR는 전세계 사용자 약 5억명을 확보한 압축 프로그램으로 1995년 출시 이후 꾸준히 버전업 지원 중
2) 사용자가 많고 공격 재현이 쉬운 탓에 2022년 9월 처음 발견됐으나 지속적으로 악용될 가능성있음
3) CVSS 위험도 7.8점은 고위험군에 속하는 점수이며 해당 취약점이 악용될 경우 큰 피해가 발생할 수 있음
4) WinRAR는 취약점 발견 즉시 보안패치를 릴리즈했으나 모든 사용자에게 적용되기까지 상당 시간 소요되어 피해발생이 지속될 것으로 예상
5) WinRAR 원격코드 실행 과정
① 조작된 압축파일을 타깃에게 유포
② 취약한 버전의 WinRAR로 파일을 실행하여 ‘미끼파일’ 클릭 시 악성코드 실행
2. 대응 방안
1) WinRAR 사용자는 프로그램을 최신 형상으로 유지
2) 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단
3) AV(패턴기반탐지)+ EDR(행위기반탐지) 솔루션
4) PC 취약점을 주기적으로 점검, 보완
5) 신뢰할 수 없는 메일의 첨부파일은 실행을 금지
6) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결
7) OS나 어플리케이션은 최신 형상을 유지