Des pirates continuent d’exploiter une vulnérabilité déjà corrigée dans WinRAR pour pénétrer dans les systèmes. Les attaquants, qu’ils soient étatiques ou motivés par des gains financiers, utilisent largement cette faille.
Une grave faille de sécurité dans WinRAR, désignée CVE-2025-8088, est activement exploitée par divers cybercriminels et acteurs étatiques, bien que le problème ait été corrigé depuis juillet. C’est ce que rapporte l’équipe de Threat Intelligence de Google. Les pirates russes ont déjà ciblé la vulnérabilité de WinRAR depuis l’été.
La faille permet aux attaquants de placer des fichiers dans le dossier de démarrage de Windows, ce qui leur permet de maintenir l’accès au système. Les vulnérabilités de WinRAR sont dangereuses car elles peuvent contourner la sécurité intégrée de Windows.
Accès via des chemins de fichiers cachés
La vulnérabilité permet aux attaquants d’écrire des fichiers à des emplacements indésirables via des flux de données alternatifs. Souvent, ceux-ci sont cachés dans un fichier d’archive contenant un document anodin, tandis qu’en arrière-plan, un fichier malveillant est placé dans le dossier qui démarre automatiquement les programmes au démarrage de Windows. Cette méthode ne nécessite aucune interaction de l’utilisateur en dehors de l’ouverture du fichier RAR dans une version vulnérable de WinRAR.
RARLAB, le développeur de WinRAR, a publié une mise à jour (version 7.13) le 30 juillet 2025 qui corrige le problème. Pourtant, les observations de Google montrent que de nombreux systèmes sont encore vulnérables en raison de pratiques de mise à jour lentes : malheureusement, un phénomène très tenace dans le monde de l’informatique. Il est conseillé aux administrateurs informatiques de déployer immédiatement les mises à jour et de surveiller activement les systèmes pour détecter les méthodes d’attaque décrites.
lire aussi
Des pirates russes et chinois ciblent WinRAR
Acteurs étatiques et criminels actifs
Les groupes étatiques et criminels exploitent cette vulnérabilité, rapporte Google. Les groupes liés à la Russie, tels que UNC4895, APT44 et Turla, ciblent principalement les objectifs gouvernementaux et militaires ukrainiens avec des campagnes de phishing sur mesure. Les acteurs liés à la Chine et les pirates agissant pour des motifs financiers sont moins regardants sur leurs cibles.
Ces campagnes sont actives dans le monde entier, avertit Google. Les charges utiles sont souvent téléchargées via Dropbox ou cachées dans des fichiers HTML. Google souligne également l’existence d’un marché souterrain dynamique pour ces exploits. La commercialisation des exploits abaisse la barrière pour les attaquants et accélère la propagation.