WinRAR zero-day exploited to plant malware on archive extraction

WinRAR : Une faille critique exploitée pour distribuer des malwares

Une vulnérabilité récemment corrigée dans WinRAR, identifiée sous la référence CVE-2025-8088, a été activement utilisée comme faille zero-day dans des attaques de phishing. Ces attaques visaient à installer le malware RomCom.

Points clés :

• Nature de la faille : Il s’agit d’une vulnérabilité de type “directory traversal” (ou traversée de répertoire).
• Mécanisme d’exploitation : Cette faille permettait à des archives spécialement conçues de forcer l’extraction de fichiers dans des chemins définis par l’attaquant, au lieu du chemin sélectionné par l’utilisateur.
• Conséquences : Les attaquants pouvaient ainsi extraire des exécutables dans des dossiers de démarrage automatique (comme le dossier Démarrage de Windows), assurant leur exécution au prochain redémarrage de la machine ou à la prochaine connexion de l’utilisateur. Cela permettait d’obtenir une exécution de code à distance.
• Cible : Les versions de WinRAR antérieures à la version 7.13 sont affectées. Les versions Unix de RAR, UnRAR, ainsi que RAR pour Android, ne sont pas concernées.
• Acteurs malveillants : Le groupe RomCom (également connu sous les noms de Storm-0978, Tropical Scorpius, ou UNC2596), associé à des activités cybercriminelles d’origine russe, est à l’origine de ces exploitations. Ce groupe est connu pour utiliser des failles zero-day et des malwares personnalisés pour des attaques de vol d’informations, de persistance et d’installation de portes dérobées.

Vulnérabilités :

• CVE-2025-8088 : Vulnérabilité de traversée de répertoire dans WinRAR.

Recommandations :

• Mise à jour impérative : Étant donné que WinRAR ne dispose pas de fonction d’auto-mise à jour, il est fortement recommandé à tous les utilisateurs de télécharger et d’installer manuellement la dernière version disponible sur le site officiel de WinRAR (win-rar.com) pour se protéger contre cette menace.

Source