[소만사 악성코드 분석리포트 ] WinRAR 원격코드 실행 취약점

전 세계 약 5억 명이 사용하는 압축 프로그램에서 취약점 발견, CVSS(공통 취약점 등급 시스템) 위험도 최고점 10점 중 7.8점 평가

1. 요약
      1) WinRAR는 전세계 사용자 약 5억명을 확보한 압축 프로그램으로 1995년 출시 이후 꾸준히 버전업 지원 중
      2) 사용자가 많고 공격 재현이 쉬운 탓에 2022년 9월 처음 발견됐으나 지속적으로 악용될 가능성있음
      3) CVSS 위험도 7.8점은 고위험군에 속하는 점수이며 해당 취약점이 악용될 경우 큰 피해가 발생할 수 있음
      4) WinRAR는 취약점 발견 즉시 보안패치를 릴리즈했으나 모든 사용자에게 적용되기까지 상당 시간 소요되어 피해발생이 지속될 것으로 예상
      5) WinRAR 원격코드 실행 과정
           ① 조작된 압축파일을 타깃에게 유포
           ② 취약한 버전의 WinRAR로 파일을 실행하여 ‘미끼파일’ 클릭 시 악성코드 실행

2. 대응 방안
     1) WinRAR 사용자는 프로그램을 최신 형상으로 유지
     2) 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단
     3) AV(패턴기반탐지)+ EDR(행위기반탐지) 솔루션
     4) PC 취약점을 주기적으로 점검, 보완
     5) 신뢰할 수 없는 메일의 첨부파일은 실행을 금지
     6) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결
     7) OS나 어플리케이션은 최신 형상을 유지