Les attaques explosent contre WinRAR en raison d’une faille

 

C’était prévisible. Les pirates sont bien décidés à tirer profit d’une importante faille de sécurité des différentes versions de WinRAR, qui comptent plus de 500 millions d’utilisateurs. Une mine d’or de PCs encore vulnérables, malgré la diffusion d’un correctif fin janvier.

Plusieurs campagnes malveillantes ont été détectées jusqu’à présent. Des groupes cybercriminels, et peut-être même aussi des pirates au service d’Etats, tentent d’exploiter la vulnérabilité de WinRAR pour installer des logiciels malveillants sur les terminaux des utilisateurs du logiciel.

Cyberespions et cybercriminels à la manoeuvre

La vulnérabilité a été rendue publique le 20 février par des chercheurs en sécurité de la société de cybersécurité Check Point. Un attaquant peut créer des archives piégées qui, lorsqu’elles sont décompressées avec l’application WinRAR, permettent d’installer des fichiers malveillants n’importe où sur les systèmes des utilisateurs.

Check Point anticipait que les attaquants exploiteraient cette vulnérabilité afin d’installer des malwares dans le dossier de démarrage de Windows. Pour quel motif ? Leur permettre de s’exécuter automatiquement après chaque redémarrage du système.

Et cette hypothèse se vérifie donc. Une semaine après l’officialisation de ce risque de sécurité, des pirates commençaient en effet à exploiter la faille du logiciel pour déployer des chevaux de Troie, avec backdoor, sur les PC vulnérables.

Et d’autres campagnes ont suivi. Elles se sont en outre diversifiées pour diffuser différentes charges utiles de logiciels malveillants, via des leurres tout aussi divers, allant des documents techniques aux images pornographiques.

Des archives malveillantes ont ainsi été envoyées aux agences gouvernementales sud-coréennes la veille du deuxième sommet réunissant Donald Trump et Kim Jong-un fin février au Vietnam.

Pour les chercheurs en sécurité interrogés par ZDNet, il est impossible de confirmer de liens avec des groupes de pirates nord-coréens ou russes. Ils soulignent toutefois que le calendrier et les cibles visées pourraient suggérer l’implication d’Etats étrangers.

500 millions d’utilisateurs et installation manuelle du patch

D’autres campagnes comparables tirant parti de WinRAR sont encore à signaler. La première profitait opportunément d’une actualité législative en Ukraine pour inciter les victimes à décompresser une archive malveillante.

Quant à la seconde, elle prenait pour prétexte les Nations Unies et les droits de l’homme pour cibler des utilisateurs au Moyen-Orient. Dans les deux cas, les attaques étaient très ciblées, et vraisemblablement le fruit de services de renseignement engagés dans du cyberespionnage.

Mais les Etats ne sont néanmoins pas les seuls à s’intéresser au potentiel de la faille de WinRAR. Les traditionnels cybercriminels aussi sont de la partie. McAfee observe l’exploitation de la célébrité d’Ariana Grande pour propager des archives piégées.

L’éditeur assure que déjà plus d’une centaine d’exploits ont utilisé la vulnérabilité de WinRAR pour infecter les utilisateurs. Et le décompte se poursuit. La fenêtre d’exploitation est en effet loin d’être refermée.

Avec une base de 500 millions d’utilisateurs dans le monde, nombreux sont ceux à exploiter des versions obsolètes de l’application. Mais en outre, si un correctif a été déployé le 28 janvier via WinRAR 5.70 Beta 1, les utilisateurs doivent manuellement télécharger cette version depuis le site de l’éditeur et l’installer.

Il est très probable, comme souvent, que la grande majorité des utilisateurs ignorent l’existence de cette vulnérabilité, et donc qu’il est impératif d’installer une mise à jour de sécurité critique pour se protéger des attaques – qui supposent toutefois une interaction avec l’utilisateur pour s’exécuter.

Go to Source


bouton-devis