CVE-2025-8088: Vulnérabilité de traversée de chemin WinRAR
Sommaire exécutif (Executive Summary)
Section intitulée « Sommaire exécutif (Executive Summary) »CVE-2025-8088 est une vulnérabilité critique de traversée de chemin (path traversal) affectant les versions Windows de WinRAR antérieures à 7.13. Elle permet aux attaquants d’exécuter du code arbitraire sur le système de la victime en manipulant les structures de fichiers d’archives. Cette vulnérabilité est activement exploitée par des groupes malveillants.
Analyse technique
Section intitulée « Analyse technique »La faille réside dans la manière dont WinRAR gère la résolution des chemins lors de l’extraction des archives. Un attaquant peut concevoir une archive qui force l’extraction de fichiers en dehors du répertoire de destination prévu. En plaçant un exécutable malveillant dans un dossier de démarrage ou en écrasant des binaires existants, l’attaquant obtient l’exécution de code suite à une interaction utilisateur ou un événement système.
Flux d’exploitation
Section intitulée « Flux d’exploitation »- Un attaquant distribue un fichier archive malveillant.
- L’utilisateur extrait le fichier à l’aide d’une version vulnérable de WinRAR (< 7.13).
- Le mécanisme de traversée de chemin écrit un fichier contrôlé par l’attaquant dans un emplacement sensible.
- Le fichier est exécuté, offrant à l’attaquant un point d’entrée sur le système.
Investigation forensique
Section intitulée « Investigation forensique »Lors de l’analyse d’un compromis potentiel impliquant CVE-2025-8088, concentrez-vous sur les artefacts qui suivent l’exécution des fichiers et la traversée de répertoires. Corrélez-les avec l’activité de WinRAR :
- UserAssist : examinez les clés de registre pour l’historique d’exécution de WinRAR afin de confirmer que l’application a été lancée juste avant l’activité suspecte des fichiers.
- Jumplists : analysez les entrées Jumplist pour WinRAR afin d’identifier les fichiers archives récemment ouverts qui pourraient être les vecteurs malveillants.
- Shellbags : analysez les Shellbags pour suivre l’historique d’accès aux répertoires, en vous concentrant sur les dossiers où des fichiers inattendus sont apparus après des opérations WinRAR.
- Prefetch/Shimcache : corrélez les horodatages d’exécution avec les fichiers créés lors du processus d’extraction WinRAR.
Détection
Section intitulée « Détection »- Requête de Threat Hunting : identifiez les points de terminaison exécutant des versions de WinRAR.exe inférieures à 7.13.
- IOCs : inspectez les archives pour des caractères de chemin non standard (par exemple, ../, ..) qui pourraient indiquer des tentatives de traversée.
Mitigation
Section intitulée « Mitigation »Mettez à jour WinRAR vers la version 7.13 ou supérieure immédiatement.