Pour gérer vos consentements :
Categories: RisquesSécurité

Sécurité IT : y a-t-il une faille dans WinRAR ?

Faille ou pas faille ?

C’est la question qui se pose après les révélations de Mohammad Raza Espargham.

Ce chercheur en sécurité informatique a lancé l’alerte le 28 septembre sur SecureList. Il attire l’attention sur une vulnérabilité découverte dans WinRAR, le logiciel de (dé)compression de fichiers utilisé par « plus de 500 millions de personnes » à travers le monde.

La vulnérabilité en question touche toutes les versions de WinRAR jusqu’à la 5.21, dernière en date. Les risques qu’elle présente – exécution de code à distance sans privilèges particuliers et avec une intervention minimale de l’utilisateur – lui valent une note de 9,2 sur 10 dans l’échelle de criticité.

Le problème réside au niveau de la fonction « Texte et icône » dans le menu des options avancées accessible lors de la création d’une archive autoextractible (format SFX). Il est possible d’insérer du code HTML qui, lorsqu’il est exécuté à l’ouverture de l’archive, déclenche le téléchargement d’une charge utile malveillante.

Testée sur Windows 7 et Windows Server 2008, la faille est confirmée par Malwarebytes, qui précise toutefois avoir dû modifier la preuve de concept (PoC) proposée par Mohammad Raza Espargham afin qu’elle fonctionne (il s’agit peut-être d’une simple incompatibilité avec la version de Perl utilisée par le chercheur iranien).

Du côté de WinRAR, on relativise la situation : pas de correctif à l’ordre du jour… car on ne peut pas parler de vulnérabilité.

Les équipes de développement ont tenu à s’expliquer. Leur billet, rédigé dans un anglais assez approximatif, met l’accent sur la nature même des archives SFX : elle sont potentiellement tout aussi dangereuses qu’un exécutable ; c’est à l’utilisateur de se méfier des fichiers à la provenance douteuse.

Et de préciser qu’il « n’y a pas besoin d’exploiter une faille » pour élaborer une archive infectée. Consulter la documentation relative à la création d’archives SFX suffit.

On y découvre notamment la commande « Setup », qui permet d’exécuter un fichier. Mais aussi « Silent », qui saute la fenêtre de validation. Et « Overwrite », qui empêche l’affichage d’un message au cas où il existerait déjà un fichier du même nom dans le dossier de destination. Tout peut donc se passer au nez et à la barbe de la victime, sans technique particulière de hacking.

Code HTML accepté…

Crédit photo : 3DDock – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago