WinRAR 파일 보관 솔루션의 취약점을 악용하면 Mark of the Web(MotW) 보안 경고를 우회하고 Windows 컴퓨터에서 임의의 코드를 실행할 수 있습니다.
해당 보안 문제는 CVE-2025-31334로 추적되었으며 현재 최신 릴리스인 7.11을 제외한 모든 WinRAR 버전에 영향을 줍니다.
웹 마크는 인터넷에서 다운로드한 파일을 잠재적으로 안전하지 않은 것으로 태그 지정하는 메타데이터 값(대체 데이터 스트림인 존 식별자) 형태의 Windows 보안 기능
MotW 태그가 있는 실행 파일을 열 때 윈도우 는 해당 파일이 인터넷에서 다운로드되었으며 유해할 수 있다는 경고를 사용자에게 표시하고 실행을 계속할지 아니면 종료할지 옵션을 제공
실행 파일에 대한 심볼릭 링크
CVE-2025-31334 취약점은 위협 행위자가 WinRAR 7.11 이전 버전에서 실행 파일을 가리키는 심볼릭 링크(symlink)를 열 때 MotW 보안 경고를 우회하는 데 악용이 될 수가 있습니다.
공격자는 특별히 제작된 심볼릭 링크를 사용하여 임의의 코드를 실행할 수 있으며 심볼릭 링크는 Windows에게서만 관리자 권한이 있어야 만들 수 있다는 점에 유의
보안 문제는 6.8의 중간 심각도 점수를 받았으며 응용 프로그램 변경 로그에 기록된 대로 WinRAR의 최신 버전에서 수정
실행 파일을 가리키는 심볼릭 링크가 WinRAR 셸에서 시작된 경우 실행 파일 Mark of the Web 데이터가 무시되었습니다.-WinRAR
해당 취약점은 일본 정보기술진흥기구(IPA)를 통해 Mitsui Bussan Secure Directions의 시마네 타이헤이에 의해 보고
WinRAR 개발자와 협력하여 책임 있는 공개를 일본의 컴퓨터 보안 사고 대응팀은 조정
WinRAR 7.10 버전부터 개인 정보 위험으로 간주할 수 있는 MotW 대체 데이터 스트림 정보(예: 위치, IP 주소)를 제거할 수 있는 기능이 제공
국가 지원 위협을 포함한 위협 행위자들은 과거에도 MotW 우회 방법을 악용해 보안 경고를 표시하지 않고 다양한 맬웨어를 배포
최근 러시아 해커들은 7-Zip 보관 프로그램의 취약점을 악용했는데 해당 취약점은 두 번 보관 (파일 안에 다른 파일을 보관) 해도 MotW가 전파되지 않아 Smokeloader 맬웨어 드로퍼를 실행
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 삼성 피싱(Phishing) 사이트 분석-miamitradingszone(2025.4.11) (2) | 2025.04.14 |
|---|---|
| 윈도우 취약점 CVE-2025-29824을 악용한 랜섬웨어 공격 주의 (0) | 2025.04.11 |
| Windows 11 KB5055523,KB5055528,윈도우 10 KB5055518 누적 보안 업데이트 (0) | 2025.04.10 |
| 북한 해킹 그룹 Konni(코니)에서 만든 악성코드-ECRM.M.hwp.lnk(<-가칭,2025.3.24) (0) | 2025.04.10 |
| 파이어폭스 137 탭그룹,주소 표시줄 새로 고침 등의 기능을 제공 (0) | 2025.04.04 |
| 북한 해킹 단체 APT37(Reaper)에서 만든 악성코드-한국군사학논총(2025.3.26) (0) | 2025.03.31 |
| 김수키(Kimsuky)성범죄자의 신상정보공개 양식 으로 위장해서 만든 악성코드-성범죄자 신상정보 고지.pdf.lnk(2025.3.25) (0) | 2025.03.28 |
| 캡챠 복사 붙여넣기 기법 을 악용을 하는 클릭픽스(ClickFix)-blessdayservices(.)org/up(2025.3.24) (0) | 2025.03.28 |
