Vulnérabilité de Winrar – absence de mises à jour automatiques

Divers groupes de cybercriminels et de pirates informatiques continuent d’exploiter une vulnérabilité d’exécution de code critique récemment corrigée dans WinRAR, une application de compression de fichiers Windows populaire auprès de 500 millions d’utilisateurs dans le monde.


Pourquoi ? Parce que le logiciel WinRAR n’a pas de fonction de mise à jour automatique, ce qui, malheureusement, rend des millions de ses utilisateurs vulnérables aux cyberattaques.


La vulnérabilité critique (CVE-2018-20250) qui a été corrigée à la fin du mois dernier par l’équipe WinRAR avec la sortie de la version 5.70 beta 1 de WinRAR affecte toutes les versions antérieures de WinRAR publiées au cours des 19 dernières années.


Pour ceux qui ne le savent pas, la vulnérabilité est le bogue “Absolute Path Traversal” qui réside dans l’ancienne bibliothèque tierce UNACEV2.DLL de WinRAR et permet aux attaquants d’extraire un fichier exécutable compressé de l’archive ACE vers un des dossiers de démarrage Windows, où le fichier malveillant serait automatiquement exécuté au prochain démarrage.


Par conséquent, pour exploiter avec succès cette vulnérabilité et prendre le contrôle total des ordinateurs ciblés, un attaquant n’a qu’à convaincre les utilisateurs d’ouvrir un fichier d’archive compressé malveillant avec WinRAR.



Immédiatement après que les détails et le code d’exploitation de preuve de concept (PoC) ont été rendus publics, les attaquants malveillants ont commencé à exploiter la vulnérabilité dans une campagne de courriel malveillant pour installer des logiciels malveillants sur les ordinateurs des utilisateurs exécutant la version vulnérable du logiciel.


Maintenant, les chercheurs en sécurité de McAfee ont rapporté qu’ils ont identifié plus de ” 100 exploits uniques et en nombre ” au cours de la première semaine depuis que la vulnérabilité a été rendue publique, avec la plupart des cibles initiales résidant aux États-Unis.

Une campagne récente, repérée par les chercheurs, s’est appuyée sur une copie piratée d’un album à succès d’Ariana Grande, qui n’est actuellement détecté comme malware que par 11 produits de sécurité, alors que 53 produits antivirus n’alertent pas leurs utilisateurs au moment de la rédaction.


Le fichier RAR malveillant (Ariana_Grande-thank_u,next(2019)[320].rar) détecté par McAfee extrait une liste de fichiers MP3 inoffensifs dans le dossier de téléchargement de la victime mais dépose également un fichier EXE malveillant dans le dossier de démarrage, qui a été conçu pour infecter l’ordinateur cible avec un malware.


“Lorsqu’une version vulnérable de WinRAR est utilisée pour extraire le contenu de cette archive, une charge utile malveillante est créée dans le dossier Startup en coulisse “, expliquent les chercheurs.
“Le contrôle d’accès de l’utilisateur (UAC) est contourné, de sorte qu’aucune alerte n’est affichée à l’utilisateur. La prochaine fois que le système redémarre, le malware est lancé.”


Malheureusement, de telles campagnes sont toujours en cours, et la meilleure façon de vous protéger contre de telles attaques est de mettre à jour votre système en installant la dernière version du logiciel WinRAR dès que possible et d’éviter d’ouvrir les fichiers reçus de sources inconnues.

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *