취약점 개요

‍

2023년 8월, RARLAB의 Windows 운영체제용 파일 압축 및 압축 해제 소프트웨어인 WinRAR® 6.22 이하 버전에서 임의의 코드를 실행할 수 있는 CVE-2023-38831 취약점이 공개됐다. 이 취약점은 확장자를 조작한 정상 문서 파일과 악성 코드가 포함된 ZIP 파일에서, 정상 문서 실행 시 악성 코드가 대체 실행된다.

​

이를 악용하여 최근 암호 화폐 포럼 등 다수의 사이트에서 암호 화폐 및 주식 거래자들을 대상으로 한 공격이 발견됐다. 거래자들이 공격자가 유포한 압축 파일의 링크로 접속해 미끼 파일을 실행하면, 악성 프로그램이 거래자의 기기를 감염시켜 피해자 계좌에서 탈취 자금을 인출한다. 현재까지 최소 130개 이상의 기기가 감염되어 피해를 본 것으로 밝혀졌다.

‍

_{[그림1. “비트코인 거래를 위한 최고의 개인 전략”으로 업로드 된 악성 게시물]}

_{[출처] group-ib}

​

또한, 러시아-우크라이나의 사이버 전쟁이 심각해지면서, 우크라이나를 공격 대상으로 삼는 해킹 조직들 중 하나인 “GhostWriter(일명 UAC-0057 또는 UNC1151)”가 CVE-2023-38831 취약점을 활용해 공격한 사례도 발견됐다. 이 조직은 우크라이나를 대상으로 전쟁과 관련된 링크 파일을 미끼로 삼아 의도적으로 삽입한 악성 코드를 실행시켰다.

‍

_{[그림2. 우크라이나 CERT 팀 공식 게시글]}

_{[출처] CERT-UA}

‍

RARLAB은 현재 전 세계적으로 WinRAR를 사용하는 사용자 수를 약 5억 명 이상으로 추정하고 있다. CVE-2023-38831 취약점의 CVSS 점수는 7.8점으로 매겨졌지만, WinRAR의 사용 규모가 크고 다른 CVE^[1]에 비해 공격 난이도가 쉬운 편에 속한다.

_{[1] CVE(Common Vulnerabilities and Exposures): 공개적으로 알려진 컴퓨터 보안 결함 목록}

​

_{[그림3. WinRAR 공식 사이트 내용]}

_{[출처] RARLAB}

‍

이러한 이유로 해당 취약점은 다른 공격들과 복합적으로 활용하기 용이하다. 예를 들어 랜섬웨어와 연계하여 공격에 사용된다면 강력한 피해를 발생시킬 수 있다. 따라서 사용자들은 각별한 주의가 필요하다.

‍

영향받는 소프트웨어 버전

CVE-2023-38831에 취약한 WinRAR 버전은 다음과 같다.

​

공격 시나리오

‍

CVE-2023-38831 취약점을 이용한 공격 시나리오는 다음과 같다.

​

_{[그림4. CVE-2023-38831 공격 시나리오]}

‍

① 공격자는 CVE-2023-38831 취약점을 유발하는 악성 스크립트가 삽입된 ZIP을 생성한다.

② 공격자는 생성한 악성 ZIP 파일을 메일/게시판/메신저 등을 통해 유포한다.

③ 피해자는 유포된 ZIP 파일을 PC에 다운로드한다.

④ 피해자는 다운로드한 악성 ZIP 파일을 취약한 버전의 WinRAR로 연다.

⑤ 피해자가 ZIP 파일 내 확장자 스푸핑[2]이 적용된 문서를 열면, 공격자가 삽입한 악성 스크립트가 실행된다.

⑥ 공격자가 악성 스크립트를 통해 피해자의 PC를 장악하고, 내부 주요 정보를 탈취한다.

‍

_{[2] 확장자 스푸핑(Extension Spoofing): 파일 확장자를 조작해 파일의 실제 형식을 숨기고 다른 파일로 위장하는 공격 기술}

​

(후략)

​

더 자세한 내용은 리포트 다운로드를 통해 확인하세요! (클릭)

​

‍