Google Warns of Active Exploitation of WinRAR Vulnerability CVE-2025-8088

1 minute de lecture

Mis à jour : January 28, 2026

Exploitation Active d’une Vulnérabilité WinRAR Majeure

Plusieurs acteurs malveillants, incluant des groupes soutenus par des États et des cybercriminels motivés par l’argent, exploitent activement une faille de sécurité critique dans WinRAR. Cette vulnérabilité, désormais corrigée, permet aux attaquants d’obtenir une exécution de code arbitraire en ouvrant des archives malveillantes.

Points Clés :

Des groupes liés à la Russie et à la Chine, ainsi que des acteurs motivés par le profit, exploitent cette faille dans diverses opérations.
La méthode d’exploitation courante implique une faille de “path traversal” qui permet de déposer des fichiers dans le dossier de démarrage de Windows pour assurer la persistance.
Cette exploitation met en évidence des lacunes dans la sécurité applicative fondamentale et la sensibilisation des utilisateurs.
L’économie souterraine des exploits, où les failles WinRAR sont vendues à prix d’or, contribue à cette large exploitation.

Vulnérabilité :

CVE-2025-8088 (Score CVSS : 8.8) : Permet l’exécution de code arbitraire via des archives malveillantes.

Acteurs et Méthodes Observées :

RomCom (CIGAR, UNC4895) : Utilise la faille comme une vulnérabilité zero-day pour distribuer le malware SnipBot (NESTPACKER).
Sandworm (APT44, FROZENBARENTS) : Exploite la faille pour déposer des fichiers LNK malveillants conçus pour des téléchargements supplémentaires, utilisant un nom de fichier leurre ukrainien.
Gamaredon (CARPATHIAN) : Cible les agences gouvernementales ukrainiennes avec des archives RAR contenant des fichiers HTA servant de téléchargeurs.
Turla (SUMMIT) : Distribue la suite de malwares STOCKSTAY en utilisant des leurres liés à des activités militaires ukrainiennes et des opérations de drones.
Acteur basé en Chine : Utilise CVE-2025-8088 pour livrer Poison Ivy via un script batch dans le dossier de démarrage de Windows.
Groupes cybercriminels : Déploient des RAT et des voleurs d’informations, notamment des backdoors contrôlés par des bots Telegram, des variants d’AsyncRAT et XWorm.
Groupe ciblant le Brésil : A livré une extension Chrome malveillante pour le phishing et le vol d’identifiants sur des sites bancaires.

Recommandations :

Mettre à jour WinRAR vers la version 7.13 ou ultérieure, qui corrige la vulnérabilité CVE-2025-8088.
Être vigilant face aux archives provenant de sources non fiables.
Renforcer la sécurité applicative fondamentale et sensibiliser les utilisateurs aux risques.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Google Warns of Active Exploitation of WinRAR Vulnerability CVE-2025-8088

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)