WinRAR path traversal flaw still exploited by numerous hackers

2 minute de lecture

Mis à jour : January 28, 2026

Exploitation continue d’une faille WinRAR critique

Une vulnérabilité de sécurité de gravité élevée dans WinRAR, désignée par la référence CVE-2025-8088, est activement exploitée par divers acteurs malveillants, y compris des groupes étatiques et des cybercriminels motivés par l’argent. Cette faille de type “path traversal” utilise les flux de données alternatifs (ADS) pour écrire des fichiers malveillants dans des emplacements arbitraires sur le système d’une victime. Les attaquants l’utilisent pour obtenir un accès initial et installer des charges utiles malveillantes, souvent dans le dossier de démarrage de Windows pour assurer la persistance.

Des recherches ont révélé que l’exploitation a débuté dès juillet 2025 et se poursuit. Les attaquants dissimulent les fichiers malveillants dans les ADS de fichiers leurres inclus dans les archives. Lorsqu’un utilisateur ouvre un fichier leurre (comme un PDF), WinRAR extrait silencieusement la charge utile malveillante via le “path traversal”, ce qui peut conduire à l’exécution de fichiers LNK, HTA, BAT, CMD ou de scripts dès la connexion de l’utilisateur.

Parmi les groupes étatiques observés exploitant cette vulnérabilité figurent UNC4895 (RomCom/CIGAR), APT44 (FROZENBARENTS), TEMP.Armageddon (CARPATHIAN), Turla (SUMMIT), ainsi que des acteurs liés à la Chine. Les charges utiles déployées incluent des malwares tels que NESTPACKER, des téléchargeurs HTA, la suite de malwares STOCKSTAY et le backdoor POISONIVY.

Les acteurs motivés par l’argent utilisent également cette faille pour distribuer des outils d’accès à distance courants, des voleurs d’informations (comme XWORM et AsyncRAT), des backdoors contrôlés par des bots Telegram et des extensions bancaires malveillantes pour navigateurs.

La disponibilité d’exploits fonctionnels sur le marché noir, vendus par des individus spécialisés, contribue à la commoditisation des cyberattaques, rendant l’exploitation de systèmes non corrigés plus facile et plus rapide.

Points clés :

Une faille critique dans WinRAR (CVE-2025-8088) est largement exploitée.
La vulnérabilité permet l’écriture de fichiers malveillants dans des emplacements arbitraires grâce aux flux de données alternatifs (ADS).
Les acteurs étatiques et les cybercriminels motivés par l’argent l’utilisent pour l’accès initial, l’installation de malwares et la persistance.
Des fichiers leurres dans les archives dissimulent les charges utiles malveillantes.
L’exploitation conduit à l’exécution de divers types de fichiers malveillants lors de la connexion de l’utilisateur.
La disponibilité d’exploits sur le marché contribue à la facilité d’attaque.

Vulnérabilités :

CVE-2025-8088 : Faille de type “path traversal” dans WinRAR utilisant les flux de données alternatifs (ADS).

Recommandations :

Appliquer les mises à jour de sécurité disponibles pour WinRAR dès que possible.
Soyez vigilant face aux archives provenant de sources non fiables.
Utiliser des solutions de sécurité à jour pour détecter et bloquer les menaces connues.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

WinRAR path traversal flaw still exploited by numerous hackers

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)