울지않는벌새 : Security, Movie & Society

WinRAR SFX 원격 코드 실행 취약점 주의 (2015.10.1)

벌새::Security

WinRAR 압축 프로그램을 이용하여 WinRAR SFX 실행 압축 파일을 제작하는 과정에서 악의적인 HTML 코드를 추가하여 사용자 몰래 원격 코드 실행이 가능한 보안 취약점이 발견되었다는 소식입니다.

일반적으로 WinRAR SFX 실행 압축 파일 내부에 정상 파일과 악성 파일을 함께 추가하여 사용자가 EXE 파일을 실행하여 압축 해제 및 설치가 자동으로 진행되는 방식은 악성코드 유포 사례에서는 특별한 것이 아닙니다.

 

하지만 이번에 공개된 방식은 압축 파일 내부에는 존재하지 않는 악성 파일을 사용자 몰래 외부 서버에서 다운로드하여 자동 실행이 가능한 방식입니다.

현재 PoC가 공개된 WinRAR SFX 원격 코드 실행 취약점은 WinRAR 5.21 정식 버전에서 유효한 방식이며, SFX 실행 압축 파일 제작시 옵션 항목 중 "Text and icon" 항목에 특정 서버로 자동 연결하여 파일을 다운로드 및 실행할 수 있는 HTML 코드를 추가할 수 있는 방법을 악용하였습니다.

 

이를 통해 화면 상에서는 SFX 실행 압축 파일 해제창만 표시되며 백그라운드 방식으로 특정 파일을 다운로드하여 사용자 계정 컨트롤(UAC) 알림없이 파일 실행을 통해 설치가 가능합니다.

 

이에 대하여 WinRAR 제작사에서는 공식적으로 WinRAR SFX 원격 코드 실행 취약점에 대한 입장을 표명하고 있지만, 근본적으로 실행 파일(EXE)에 대한 보안 위협은 기존부터 항상 존재한 문제로 사용자가 신뢰할 수 있는 소스에서 파일을 다운로드하여 실행하는 보안 수칙을 잘 지켜야 한다는 점을 강조하고 있습니다.

 

그러므로 악성코드 제작자에 의한 다양한 악용이 가능한 상태이므로 인터넷 게시판, 이메일 첨부 파일과 같은 방식으로 다운로드되는 WinRAR SFX 실행 압축 파일 실행시 각별히 주의하시기 바랍니다.