23 Oct
Selon un article de Lemonde informatique, des chercheurs en sécurité de Google ont découvert une vulnérabilité alarmante au sein du logiciel WinRAR, exploitée par divers groupes de pirates informatiques, dont certains bénéficieraient du soutien de gouvernements tels que la Chine et la Russie. Heureusement, un correctif a été disponible depuis août de l’année précédente pour contrer cette menace.
Le coupable derrière l’exécution de code malveillant réside dans un comportement inhabituel de la fonction ShellExecute. Il est désormais clair que la notoriété expose non seulement les célébrités, mais aussi des logiciels largement utilisés, comme WinRAR, à des attaques de cyberpirates depuis plusieurs mois.
Vulnérabilité
Considérez la structure d’archivage suivante :
L’équipe de chercheurs en sécurité de Google, spécialisée dans l’analyse des menaces (TAG), a scrupuleusement surveillé les activités de ces groupes de cybercriminels, qui semblent bénéficier du soutien de certains États, dont la Chine et la Russie.
Suite à la publication d’une mise à jour en août dernier, intégrée à la version 6.23 de WinRAR, les utilisateurs sont vivement encouragés à appliquer ce correctif sans délai s’ils ne l’ont pas encore fait. Après avoir respecté la période de rétention de 90 jours, Google a récemment partagé les détails de son enquête.
Le pseudo-code ci-dessous montre la logique d’extraction de WinRAR et si une entrée d’archive doit être extraite :
Au sein des vulnérabilités corrigées, l’une d’entre elles a particulièrement retenu l’attention de Google, à savoir la CVE-2023-38831. Cette vulnérabilité, exploitée depuis avril 2023, se fonde sur l’expansion de fichiers temporaires lors de l’archivage, exploitant le comportement inhabituel de ShellExecute dans Windows lors de la tentative d’ouverture de fichiers comportant des espaces dans leur extension. Cette faille a permis aux pirates de générer du code malveillant sur les systèmes ciblés.
Lors de leur analyse, les chercheurs en sécurité de Google ont identifié le soutien de gouvernements reconnus, tels que la Chine et la Russie, envers ces pirates. Cette assistance s’effectue à travers des groupes tels qu’APT 40 (ISLANDDREAMS) pour la Chine et APT 28 (FROZENLAKE) ainsi que Sandworm (FROZENBARENTS) pour la Russie. Malheureusement, en raison du retard dans l’application des correctifs, ces cyberpirates ont continué d’exploiter cette vulnérabilité jusqu’en septembre.
Google souligne que l’ampleur de l’exploitation de cette faille de WinRAR met en évidence l’efficacité des attaques visant des vulnérabilités déjà connues, même lorsque des correctifs sont disponibles. Cela montre que même les pirates informatiques les plus sophistiqués n’utilisent que les moyens nécessaires pour atteindre leurs objectifs. Ces campagnes d’exploitation de la faille de WinRAR mettent en évidence l’importance cruciale des correctifs pour maintenir la sécurité des logiciels, et Google encourage vivement les utilisateurs à les appliquer régulièrement pour protéger leurs systèmes.
