Vulnérabilité WinRAR CVE-2025-6218
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a officiellement ajouté une faille de sécurité dans le logiciel d'archivage et de compression de fichiers WinRAR à son catalogue des vulnérabilités exploitées connues (KEV). L'agence a indiqué que cette vulnérabilité est activement exploitée, ce qui suscite des inquiétudes tant chez les organisations que chez les particuliers.
Cette faille, référencée CVE-2025-6218 et présentant un score CVSS de 7,8, est une vulnérabilité de type « path traversal » permettant à un attaquant d'exécuter du code dans le contexte de l'utilisateur actuel. Son exploitation réussie nécessite que la cible visite un site web malveillant ou ouvre un fichier spécialement conçu à cet effet.
Table des matières
Détails du défaut et état du correctif
RARLAB a corrigé cette vulnérabilité dans WinRAR 7.12, publié en juin 2025. Cette faille affecte uniquement les versions Windows ; les versions pour Unix, Android et autres plateformes restent intactes.
Cette vulnérabilité permet aux attaquants de placer des fichiers dans des emplacements système sensibles, tels que le dossier de démarrage de Windows, ce qui peut potentiellement déclencher l'exécution de code non intentionnelle lors de la prochaine connexion au système.
Activité des acteurs menaçants
Plusieurs rapports de cybersécurité indiquent que la vulnérabilité CVE-2025-6218 a été exploitée par trois acteurs malveillants distincts :
- GOFFEE (Loup-garou de papier)
- Amer (APT-C-08 / Manlinghua)
- Gamaredon
- Campagnes GOFFEE
En juillet 2025, GOFFEE aurait combiné les vulnérabilités CVE-2025-6218 et CVE-2025-8088, une autre faille de sécurité critique de WinRAR (score CVSS de 8,8), pour cibler des organisations via des courriels d'hameçonnage. Ces attaques laissent supposer une tentative coordonnée et sophistiquée de compromettre les environnements d'entreprise.
Exploitation amère des APT
Le groupe APT Bitter, actif en Asie du Sud, a exploité cette vulnérabilité pour maintenir sa présence sur les systèmes compromis et déployer un cheval de Troie C# via un téléchargeur léger. L'attaque utilise une archive RAR nommée Provision of Information for Sectoral for AJK.rar, contenant un document Word anodin et un modèle de macro malveillant.
Les principaux mécanismes de l'attaque comprennent :
- En plaçant le fichier Normal.dotm dans le répertoire des modèles globaux de Microsoft Word, la macro s'exécutera automatiquement à chaque ouverture de Word.
- Contournement des protections macro standard des e-mails pour les documents reçus après la compromission.
- Permettant au cheval de Troie de contacter un serveur C2 externe à l'adresse johnfashionaccess.com, facilitant l'enregistrement des frappes au clavier, la capture d'écran, le vol d'identifiants RDP et l'exfiltration de fichiers.
Ces archives sont principalement diffusées par le biais de campagnes d'hameçonnage ciblées.
Exploitation de Gamaredon
Le groupe Gamaredon, affilié à la Russie, a également exploité la vulnérabilité CVE-2025-6218 dans des campagnes d'hameçonnage ciblant des entités militaires, gouvernementales, politiques et administratives ukrainiennes. Ce logiciel malveillant, baptisé Pteranodon, a été observé pour la première fois en novembre 2025.
Tout porte à croire qu'il ne s'agit pas d'une activité opportuniste. Il s'agit d'un acte d'espionnage et de sabotage structuré, à visée militaire, probablement coordonné par les services de renseignement russes. De plus, Gamaredon a exploité la vulnérabilité CVE-2025-8088 pour diffuser un logiciel malveillant de type Visual Basic Script et déployer un programme destructeur nommé GamaWiper, marquant ainsi la première transition observée du groupe de l'espionnage vers des opérations destructrices.
Points clés pour les équipes de sécurité
Les organisations et les équipes de sécurité devraient prioriser les actions suivantes :
- Assurez-vous que tous les systèmes Windows exécutant WinRAR sont mis à jour vers la version 7.12 ou ultérieure.
- Restez vigilant face aux campagnes d'hameçonnage, en particulier aux courriels d'hameçonnage ciblés contenant des archives RAR ou des documents Word.
- Surveillez toute activité suspecte pouvant indiquer la présence de portes dérobées persistantes, d'enregistreurs de frappe ou de tentatives de communication avec un serveur de commande et de contrôle (C2).
- Il faut reconnaître que les acteurs étatiques peuvent combiner plusieurs vulnérabilités pour mener des attaques ciblées.
L’application proactive de correctifs, l’hygiène de sécurité des courriels et la surveillance des points de terminaison sont essentielles pour atténuer ces menaces avancées et limiter l’impact opérationnel des vulnérabilités exploitées comme CVE-2025-6218.
