Vulnérabilité CVE-2025-8088 de WinRAR
Des chercheurs en sécurité ont découvert une exploitation massive d'une faille critique, désormais corrigée, dans RARLAB WinRAR par plusieurs acteurs malveillants. Des États et des groupes à motivation financière ont exploité cette faille pour accéder initialement aux environnements cibles et déployer divers logiciels malveillants. Malgré la correction de cette vulnérabilité en juillet 2025, elle continue d'être exploitée dans le cadre de diverses opérations, soulignant les risques persistants liés aux logiciels non corrigés.
Table des matières
CVE-2025-8088 : Aperçu technique et impact
La vulnérabilité, référencée CVE-2025-8088 et présentant un score CVSS de 8,8, a été corrigée dans la version 7.13 de WinRAR, publiée le 30 juillet 2025. Son exploitation permet l'exécution de code arbitraire via des fichiers d'archive spécialement conçus, ouverts dans les versions vulnérables du logiciel. La cause première est une faille de traversée de répertoire qui permet aux attaquants de déposer des fichiers dans des emplacements sensibles, notamment le dossier de démarrage de Windows, assurant ainsi une persistance furtive et une exécution automatique au redémarrage du système et à l'ouverture de session de l'utilisateur.
Cette technique d'exploitation révèle une lacune plus large en matière de sécurité des applications et de sensibilisation des utilisateurs finaux.
Du Zero-Day au N-Day : l’évolution des attaques
Cette faille a été exploitée comme une vulnérabilité zero-day dès le 18 juillet 2025, notamment par le groupe de cybercriminels RomCom (également connu sous les noms de CIGAR ou UNC4895), dont les motivations sont multiples. Ces opérations ont permis la diffusion d'une variante du malware SnipBot (NESTPACKER). Les chercheurs associent également des activités similaires au cluster UNC2596, lui-même lié aux déploiements du ransomware Cuba.
Suite à sa divulgation publique et à la mise en place d'un correctif, la vulnérabilité s'est rapidement transformée en une faille de type n-day largement exploitée. Les attaquants intégraient des fichiers malveillants, souvent des raccourcis Windows (LNK) dissimulés dans des flux de données alternatifs (ADS), au sein de contenus leurres. Une fois extraits, ces fichiers étaient placés dans des répertoires système prédéterminés et exécutés automatiquement après un redémarrage.
Les opérations des États-nations étendent l’exploitation
Plusieurs groupes de menaces liés à des gouvernements ont intégré la vulnérabilité CVE-2025-8088 dans leurs campagnes actives. Les acteurs alignés sur la Russie, en particulier, ont utilisé des leurres et des charges utiles secondaires spécifiques pour mener à bien des objectifs d'espionnage et de perturbation.
- Sandworm (également connu sous le nom d'APT44 ou FROZENBARENTS) a déployé des archives contenant des fichiers leurres à thème ukrainien ainsi que des charges utiles LNK malveillantes conçues pour récupérer des composants supplémentaires.
- Gamaredon (également connu sous le nom de CARPATHIAN) ciblait des entités gouvernementales ukrainiennes en utilisant des archives RAR qui fournissaient des téléchargeurs d'applications HTML (HTA) dans une première étape.
- Turla (également connu sous le nom de SUMMIT) a exploité cette faille pour distribuer le framework de logiciels malveillants STOCKSTAY, en utilisant des thèmes d'ingénierie sociale liés aux activités militaires et de drones ukrainiennes.
Parallèlement, un acteur malveillant basé en Chine a exploité cette même vulnérabilité pour installer Poison Ivy, distribué via un script batch déposé dans le dossier de démarrage de Windows et configuré pour récupérer un programme d'installation secondaire.
Campagnes à motivation financière et ciblage commercial
Les groupes cybercriminels ont rapidement exploité cette vulnérabilité pour déployer des chevaux de Troie d'accès à distance (RAT) et des logiciels de vol d'informations courants contre des entreprises. Parmi les charges utiles observées figurent des portes dérobées contrôlées par des bots Telegram, ainsi que des familles de logiciels malveillants telles qu'AsyncRAT et XWorm.
Lors d'une campagne notable, un groupe de cybercriminels connu pour cibler les utilisateurs brésiliens a diffusé une extension Chrome malveillante. Cette extension injectait du code JavaScript dans les pages de deux sites web bancaires brésiliens afin d'afficher du contenu d'hameçonnage et de récupérer les identifiants des utilisateurs, démontrant ainsi la flexibilité de l'accès initial obtenu grâce à l'exploitation de la faille WinRAR.
Marchés clandestins et marchandisation de l’exploitation
L'adoption rapide et massive de la vulnérabilité CVE-2025-8088 serait due à une économie souterraine florissante d'exploits de sécurité. Des exploits pour WinRAR auraient été proposés à des prix exorbitants, facilitant ainsi l'accès à ces exploits pour un large éventail d'acteurs. Un fournisseur opérant sous le pseudonyme de « zeroplayer » a commercialisé un exploit pour WinRAR dans les semaines précédant la divulgation publique de la CVE-2025-8088.
Le rôle continu de Zeroplayer en tant que fournisseur en amont illustre la marchandisation du cycle de vie des attaques, où les capacités d'exploitation clés en main réduisent les coûts de développement et permettent à des groupes aux motivations variées de mener des opérations sophistiquées.
Un problème plus général : d’autres failles de WinRAR sont sous le feu des critiques.
Cette activité coïncide avec des tentatives d'exploitation d'une autre vulnérabilité de WinRAR, CVE-2025-6218 (score CVSS : 7,8). Plusieurs acteurs malveillants, dont GOFFEE, Bitter et Gamaredon, ont été observés exploitant cette faille, ce qui confirme la menace persistante que représentent les vulnérabilités de type « n-day » et la rapidité avec laquelle les adversaires mettent en œuvre les nouvelles faiblesses découvertes.
Implications stratégiques pour les défenseurs
L’exploitation persistante des failles de sécurité de WinRAR corrigées souligne l’importance d’une gestion rigoureuse des correctifs, de la sensibilisation des utilisateurs et de la surveillance des mécanismes de persistance, tels que les fichiers non autorisés dans les répertoires de démarrage. La convergence des exploitations étatiques et criminelles démontre la rapidité avec laquelle les vulnérabilités critiques deviennent des ressources partagées au sein du paysage des menaces.
