WinRAR a publié une mise à jour urgente pour corriger une vulnérabilité critique de type zero-day, identifiée sous le code CVE-2025-8088, qui affecte sa version Windows. Ce défaut, avec un score CVSS de 8,8, permet aux attaquants d’exécuter du code arbitraire en exploitant une faille de traversée de chemin via des fichiers d’archive malveillants. Découverte par des chercheurs d’ESET, la vulnérabilité a été corrigée dans la version 7.13 de WinRAR, sortie le 31 juillet 2025.
L’exploitation de cette faille permet aux attaquants de manipuler les chemins de fichiers lors de l’extraction, potentiellement en plaçant des fichiers dans des répertoires sensibles tels que le dossier de démarrage de Windows, ce qui conduit à l’exécution de code non désiré lors de la connexion au système. Des organisations russes ont été ciblées en juillet 2025 par le biais de courriels de phishing contenant des archives malveillantes exploitant cette faille, ainsi qu’une autre, CVE-2025-6218.
Le groupe de hackers russe Paper Werewolf est suspecté d’avoir utilisé ces vulnérabilités, ayant probablement acquis un exploit annoncé sur le dark web. Le groupe a tiré parti de cette faille pour exécuter du code en dehors des répertoires prévus en incluant des fichiers avec des flux de données alternatifs dans les archives RAR.
Par ailleurs, le groupe RomCom a été observé exploitant CVE-2025-8088 pour déployer divers chevaux de Troie, ciblant des entreprises en Europe et au Canada. Leur méthode consiste à utiliser des leurres sur le thème des CV pour inciter les victimes à ouvrir des pièces jointes malveillantes, qui exécutent des DLL nuisibles et établissent une persistance sur le système.
Dans un développement connexe, 7-Zip a également corrigé une faille de sécurité, CVE-2025-55188, qui pourrait entraîner une écriture de fichiers arbitraire et une exécution potentielle de code, en particulier sur les systèmes Unix. Cela souligne la nécessité continue de vigilance et de mises à jour en temps opportun pour se protéger contre les menaces émergentes en cybersécurité.
