요약
- WinRAR : 윈도우 압축 프로그램으로 RAR, ZIP파일 등의 파일형식으로 파일을 포맷, 압축해제 가능.
약 5억명의 사용자가 있으며 현재 세계에서 가장 유명한 압축 프로그램으로 알려짐.
- 취약점 : UNACEV2.DLL에 존재하는 디렉토리 경로 조작 취약점으로 인해 악성 압축 파일을 시작 폴더에 압축해제 가능.
재부팅을 실시 할 시 공격자는 압축 해제된 파일을 이용해 명령어 실행이 가능함.
- 취약원인 : 모든 WinRAR 버전에 존재하는 UNACEV2.DLL 라이브러리가 어떠한 보안 매커니즘 없이 설계되어 취약점 존재
(UNACEV2.DLL : ACE 파일 형식으로 압축을 해제하는데 사용 됨)
- 대응방안 : WinRAR 5.70로 업데이트
- 일반사용자들은 WinRAR을 업데이트 하기 이전에 이메일에서 의심스러운 ACE 압축파일을 절대 다운로드 하거나 열지 말 것을 당부
관련 CVE정보
- CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253.
- PoC 및 재현 : https://research.checkpoint.com/extracting-code-execution-from-winrar/
탐지룰 존재유무
-Check Point : RARLAB WinRAR ACE Format Input Validation Remote Code Execution (CVE-2018-20250)
참고자료
Check Point 분석 : https://research.checkpoint.com/extracting-code-execution-from-winrar/
WinRAR : https://www.win-rar.com/whatsnew.html?&L=0
출처 : https://www.zdnet.com/article/winrar-versions-released-in-the-last-19-years-impacted-by-severe-security-flaw/#ftag=RSSbaffb68
https://www.securityfocus.com/bid/106948
'Vulnerability' 카테고리의 다른 글
| [2019.02.25] 다수 패스워드 매니저 프로그램 취약점 존재 (0) | 2019.03.21 |
|---|---|
| [2019.02.22] Drupal core 원격 코드 실행 취약점(CVE-2019-6340) (0) | 2019.03.21 |
| [2019.02.19] 노트북용 LG 장치 관리자 어플리케이션 권한 상승 취약점 (CVE-2019-8372) (0) | 2019.03.20 |
| [2019.02.14] WordPress, Simple Social Button 플러그인 권한 상승 취약점 (0) | 2019.03.20 |
| [2019.02.14] Ubuntu snapd API 권한 상승 취약점 (0) | 2019.03.20 |