|
공격자는 WinZip의 불안정한 서버 연결을 통해 맬웨어를 삭제할 수 있다 침해사고분석팀 2020.12.11 |
|
|
특정 버전의 WinZip 파일 압축 도구에서 서버-클라이언트 통신이 불안정하여 사용자에게 악성 프로그램이나 사기성 콘텐츠를 제공하도록 수정될 수 있다.
WinZip은 운영 체제에 내장된 지원을 넘어 파일 아카이브가 필요한 Windows 사용자를 위한 유틸리티였다.
거의 30년 전에 처음 출시된 이 도구는 현재 MacOS, Android, iOS용 버전뿐만 아니라 협업 기능을 추가하는 엔터프라이즈 버전이 있다. 웹 사이트에 따르면, 해당 애플리케이션은 10억 회 이상 다운로드 되었다.
WinZip의 현재 버전은 25이지만 이전 버전에서는 공격자가 악용할 수 있는 취약점인 암호화되지 않은 연결을 통해 서버에 업데이트 여부를 검사한다.
Trustwave SpiderLabs의 Martin Rakhmanov는 취약한 버전에서 트래픽을 캡처해 암호화되지 않은 통신을 보여줬다.
[그림1. 평문으로 전송된 통신 패킷]
통신 채널의 불안정한 특성을 감안할 때, Rakhmanov는 WinZip 사용자와 동일한 네트워크에서 공격자가 트래픽을 조작하거나 하이재킹할 수 있다고 말했다.
해당 작업으로 인해 애플리케이션이 악의적인 웹 서버에서 가짜 업데이트를 검색하도록 속이는 DNS poisoning 위험에 빠질 수 있다.
Rakhmanov는 블로그 게시물을 통해 "결과적으로 의심하지 않는 사용자는 유효한 업데이트인 것처럼 임의 코드를 실행할 수 있다"고 지적했다.
취약한 WinZip 버전에서 공격자는 사용자 이름 및 등록 코드와 같은 잠재적으로 중요한 정보를 얻을 수도 있다.
clear-text 통신은 무료 평가판 WinZip을 사용하는 이용자들에게 테스트 기간이 얼마나 남았는지를 알려주는 팝업을 보여주는 데도 이용된다.
[그림2. 무료 평가판 WinZip]
팝업의 내용은 JavaScript를 검색하는 HTML이다. 이를 통해 공격자는 WinZip 서버에서 전달한 것으로 보이는 임의의 콘텐츠에 사용자를 노출시킬 수 있다.
Rakhmanov는 WinZip이 JavaScript에 강력한 API를 제공하기 때문에 이 시나리오는 희생자의 컴퓨터에서 임의의 코드를 실행할 위험이 있다고 말했다.
WinZip 25가 출시되면서 더 이상 Clear-Text 통신이 이루어지지 않으므로 이용자는 최신 버전으로 업그레이드하는 것이 좋다.
그러나 업그레이드 비용을 지불해야 하는 문제 때문에 많은 이용자들이 업그레이드를 안할 수 있다.
이런 경우, 업데이트 확인을 비활성화하여 WinZip 서버를 쿼리하지 못하게 설정하는 것을 권장한다.
이렇게 하면 클라이언트가 새 버전의 가용성을 위해 WinZip 서버를 쿼리하지 못하게 된다.
출처 https://www.bleepingcomputer.com/news/security/hackers-can-use-winzip-insecure-server-connection-to-drop-malware/ |
