요약
- 신규 WinRAR 압축파일 원격 코드 실행 취약점 공개 5일 후, 해당 취약점 공격을 통해 백도어를 제공하는 악성 메일 배포 포착
- 악성파일 정보
(1) Zip로 압축되어 있으며, 실행 시 “CMSTray.exe”를 Windows 시작폴더에 생성
(2) 멕시코 소재의 IP주소와 연결 되어 있으며, 해당 IP에서 Cobalt Strike Beacon 모의해킹 툴을 다운로드 함.
(3) 현재까지 총 4 종류의 악성 ACE파일이 이메일로 배포되고 있는 것이 확인 됨
- 허위 송장, 배송 문서, 주문서, 은행 서류
- 대응방안
(1) ACE 파일 형식 지원이 필요 없을 경우 : 공식 WinRAR 5.70 으로 업데이트
(https://www.win-rar.com/start.html?&L=0)
* 최신 WinRAR 5.70 은 취약 원인인 unacev2.dll 라이브러리와 ACE 지원을 중단.
(2) ACE 파일 형식 지원이 필요한 경우 혹은 업그레이드가 불가능한 경우 : 0patch.com 에서 제공하는 비공식 패치 사용
(https://blog.0patch.com/2019/02/no-source-code-for-14-year-old.html)
관련 CVE정보
- CVE-2018-20250
- PoC : https://github.com/Ridter/acefile
영향성
취약함 WinRAR 버전 사용 시, 반드시 업그레이드 실시
참고자료
Tenable 취약점 분석: https://www.tenable.com/blog/winrar-absolute-path-traversal-vulnerability-leads-to-remote-code-execution-cve-2018-20250-0
Check Point 분석 : https://research.checkpoint.com/extracting-code-execution-from-winrar/
WinRAR 공식 패치 : https://www.win-rar.com/start.html?&L=0
0patch.com 마이크로 패치 : https://blog.0patch.com/2019/02/no-source-code-for-14-year-old.html
출처 : https://thehackernews.com/2019/02/winrar-hacking-exploit.html
https://www.securityweek.com/hackers-exploit-winrar-vulnerability-deliver-malware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
'Vulnerability' 카테고리의 다른 글
| [2019.03.11] 차량 스마트 알람 시스템 해킹에 취약 (0) | 2019.03.21 |
|---|---|
| [2019.02.28] Cisco RV110W VPN 방화벽 , RV130W, RV215W VPN 라우터 관리 인터페이스 원격 코드 실행 취약점 (CVE-2019-1663) (0) | 2019.03.21 |
| [2019.02.25] 다수 패스워드 매니저 프로그램 취약점 존재 (0) | 2019.03.21 |
| [2019.02.22] Drupal core 원격 코드 실행 취약점(CVE-2019-6340) (0) | 2019.03.21 |
| [2019.02.21] WinRAR 디렉토리 경로 조작 취약점을 이용한 원격 코드 실행 가능 (CVE-2018-20250-3) (0) | 2019.03.21 |