Les chercheurs de l'ESET ont découvert une nouvelle vulnérabilité enregistrée auprès du Code CV-2025-8088 dans Winrar Software. Le groupe de piratage ROMCOM-connecté russe utilise activement, donnant un code distant exécuté dans les systèmes Windows.
Le CV-2025-8088 a été défini comme une grave faiblesse utilisée dans les attaques ciblées. Selon ESET, les attaquants peuvent placer des fichiers malveillants sur les systèmes utilisateur avec des archives RAR spécialement préparées. Ces fichiers sont généralement positionnés dans les dossiers de départ de Windows et s'exécutent automatiquement à l'ouverture du système. La méthode en question permet le téléchargement du malware sans remarquer l'utilisateur. Ainsi, les attaquants peuvent à la fois jouer des données et obtenir un accès permanent au système.
Les chercheurs Anton Cherepanov, Peter Košinár et Peter Strýček ont déclaré que ce déficit était largement utilisé dans les campagnes de chasse à l'identité. Les attaques sont généralement préférées par les pièces jointes par e-mail ou les connexions qui semblent fiables. Le processus commence lorsque l'utilisateur ouvre involontairement le fichier RAR nocif. Cette méthode permet de manipuler le système d'exploitation en manipulant le chemin du fichier vers des emplacements non autorisés.
Avec la mise à jour Winrar 7.13, la vulnérabilité de sécurité a été fermée
Winrar n'a pas de système de mise à jour automatique. Pour cette raison, le téléchargement et l'installation manuels sont nécessaires pour installer la version 7.13. Si la mise à jour n'est pas appliquée, le déficit CV-2025-8088 peut continuer d'être utilisé par les attaquants. ESET dit qu'il n'y a pas de faiblesse dans les systèmes autres que Windows – par exemple les véhicules RAR basés sur UNIX et Android. De plus, il est recommandé de ne pas ouvrir les fichiers d'archives à partir de sources inconnues jusqu'à la mise à jour.
Le groupe ROMCOM est également connu sous le nom de Storm-0978, Tropical Scorpius et UNC2596. Dans le passé, le groupe a mené de nombreuses attaques, notamment la distribution des logiciels Ransom, les activités d'espionnage et le vol de données. Le déficit CV-2025-8088 se distingue comme une nouvelle méthode dans les opérations de chasse à l'identité du groupe. Le rapport ESET, l'objectif des attaques, en particulier les institutions d'État et les grandes entreprises à l'échelle, serait dite.
Parmi les détails techniques du déficit, la faiblesse de la traversée de chemin) se démarque. Avec cette méthode, les attaquants peuvent augmenter les fichiers aux dossiers que l'utilisateur ne choisit pas. Surtout lorsque le système est ouvert, le code nocif peut être exécuté à chaque fois que le système est ouvert, en particulier avec les dossiers de démarrage automatique de Windows. Les experts en sécurité affirment que les composants logiciels de ces déficits sont dus au manque de contrôles de sécurité dans le processus de traitement des archives.
Les développeurs ESET et Winrar recommandent aux utilisateurs d'obtenir immédiatement la version la plus utile. De plus, il est souligné que les fichiers qui viennent par e-mail ne doivent pas être ouverts sans vérification. La connexion téléchargeable de la version 7.13 se trouve sur le site officiel de Winrar et les utilisateurs doivent postuler sans reporter la mise à jour.
