Vulnérabilité Zero-Day de WinRAR
Les développeurs du célèbre utilitaire d'archivage de fichiers WinRAR ont publié une mise à jour de sécurité urgente pour corriger une vulnérabilité zero-day activement exploitée. Identifiée comme CVE-2025-8088 avec un score CVSS de 8,8, cette faille est un bug de traversée de chemin dans la version Windows de WinRAR qui permet aux attaquants d'exécuter du code arbitraire via des fichiers d'archive spécialement conçus.
Le correctif a été fourni dans la version 7.13 de WinRAR, publiée le 31 juillet 2025. La vulnérabilité affecte non seulement WinRAR, mais également RAR, UnRAR, UnRAR.dll et le code source portable UnRAR pour Windows.
Table des matières
Comment fonctionne l’exploit
Cette faille se produit car les versions antérieures de WinRAR pouvaient être amenées à extraire des fichiers via un chemin malveillant spécifié dans l'archive plutôt que le chemin d'extraction prévu. Ce comportement peut être exploité pour placer des fichiers dans des répertoires système sensibles, comme le dossier de démarrage de Windows, entraînant ainsi l'exécution automatique de code lors de la prochaine connexion au système.
La vulnérabilité connexe CVE-2025-6218, corrigée en juin 2025, permettait également des attaques par traversée de répertoires. Les pirates pouvaient exploiter ces deux failles conjointement pour manipuler les chemins d'accès aux fichiers lors de l'extraction, écrire des fichiers hors des dossiers désignés et exécuter du code malveillant tout en affichant un document leurre pour distraire la victime.
Activité des acteurs malveillants et liens vers le Dark Web
Des chercheurs en cybersécurité ont lié la récente exploitation de la faille CVE-2025-8088 au groupe de pirates informatiques Paper Werewolf (alias GOFFEE). Ce groupe aurait associé la faille à la faille CVE-2025-6218 pour lancer des attaques ciblées.
L'enquête a révélé que le 7 juillet 2025, un cybercriminel connu sous le nom de « zeroplayer » a annoncé une prétendue faille zero-day WinRAR sur le forum russophone Exploit.in pour 80 000 $. Paper Werewolf est soupçonné d'avoir obtenu cet exploit et de l'avoir utilisé pour des attaques réelles.
Détails de la campagne d’attaque
En juillet 2025, des organisations russes ont été ciblées par des courriels d'hameçonnage contenant des archives malveillantes. Lorsque les victimes ouvraient ces fichiers, la chaîne d'exploitation exploitait les deux vulnérabilités pour :
- Écrire des fichiers dans des répertoires en dehors du chemin d'extraction prévu.
- Déclencher l'exécution du code sans que la victime ne s'en rende compte.
Un détail technique notable est que les attaquants ont créé des archives RAR avec des flux de données alternatifs dont les noms contenaient des chemins relatifs. Ces flux transportaient des charges utiles arbitraires et, une fois extraits ou ouverts directement depuis l'archive, étaient écrits dans n'importe quel répertoire du disque.
Capacités de charge utile
L'une des charges utiles malveillantes identifiées est un chargeur basé sur .NET qui :
- Collecte des informations système, telles que le nom de l'ordinateur de la victime.
- Envoie les données à un serveur distant.
- Télécharge des logiciels malveillants supplémentaires, notamment un assemblage .NET chiffré.
Paper Werewolf utiliserait ce chargeur en combinaison avec un shell inversé sur des sockets, permettant une communication directe avec son infrastructure de commande et de contrôle.
Action recommandée
Les utilisateurs de WinRAR doivent immédiatement effectuer la mise à jour vers la version 7.13 ou ultérieure afin d'éliminer les risques liés aux vulnérabilités CVE-2025-8088 et CVE-2025-6218. Toute organisation, en particulier celles qui manipulent des données sensibles, doit revoir ses politiques de sécurité de messagerie, désactiver l'exécution automatique des fichiers depuis les archives et surveiller les comportements d'extraction suspects.
