Une vulnérabilité critique de type “zero-day” a été identifiée dans l’outil de compression de fichiers largement utilisé, WinRAR, exploitée par le groupe de menaces RomCom, aligné sur la Russie. Cette faille, découverte le 18 juillet 2025 et désormais référencée sous le code CVE-2025-8088, implique une vulnérabilité de traversée de répertoires qui utilise des flux de données alternatifs pour dissimuler et déployer des fichiers malveillants lors de l’extraction d’archives. Cela permet aux attaquants d’installer subrepticement des portes dérobées sans que l’utilisateur ne s’en aperçoive.
Les chercheurs d’ESET ont signalé qu’il s’agit au moins de la troisième fois que RomCom exploite de telles vulnérabilités. La faille affecte les versions de WinRAR jusqu’à la 7.12, y compris des composants comme UnRAR.dll. Elle permet aux attaquants de créer des archives avec des structures de répertoires manipulées, autorisant le placement de fichiers exécutables dans des répertoires sensibles, ce qui peut potentiellement conduire à une élévation de privilèges et à une persistance sur les systèmes affectés.
Le groupe RomCom, également connu sous le nom de Storm-0978, a un historique de combinaison de cybercriminalité et d’espionnage. Dans leur dernière campagne, du 18 au 21 juillet 2025, ils ont ciblé des entreprises dans des secteurs tels que la finance et la défense à travers l’Europe et le Canada, via des courriels de spearphishing déguisés en candidatures d’emploi. Des fichiers RAR malveillants, semblant être des documents anodins, ont été utilisés pour contourner les chemins d’extraction spécifiés par les utilisateurs, permettant ainsi le déploiement de logiciels malveillants et des communications de commande et de contrôle.
Il est fortement conseillé aux utilisateurs de mettre à jour vers la version 7.13 de WinRAR ou une version ultérieure pour atténuer les risques. Le correctif aborde la faille de traversée de répertoires et diffère des vulnérabilités précédentes. Bien que les versions Unix de RAR et des logiciels associés ne soient pas affectées, les utilisateurs de Windows devraient scanner les fichiers compressés avec des solutions de sécurité à jour et restreindre les privilèges d’archive pour réduire les surfaces d’attaque.
