CVE-2025-8088 : Divers Acteurs Malveillants Exploitent une Faille Critique de WinRAR
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le Google Threat Intelligence Group signale une exploitation large du CVE-2025-8088, une vulnérabilité de traversée de chemin de haute gravité dans WinRAR. Les adversaires l’utilisent pour placer des fichiers malveillants dans le dossier de démarrage de Windows afin de persister. Les groupes parrainés par des états aussi bien que ceux motivés financièrement exploitent cette vulnérabilité pour livrer des RATs, des téléchargeurs et des charges utiles de suivi. Le rapport partage des indicateurs ainsi que des conseils pour la détection et l’atténuation.
Enquête
Les chercheurs ont lié plusieurs acteurs—UNC4895, APT44, Turla, et un groupe basé en RPC—à des archives RAR conçues pour abuser des flux de données alternatifs (ADS) pour déposer des fichiers LNK, HTA, ou BAT dans le démarrage. Certaines archives avaient des gestionnaires LNK qui lançaient HTA ou BAT à la connexion. Les familles de malwares observées incluent NESTPACKER, POISONIVY, XWorm, et AsyncRAT. Des infrastructures partagées et des codes d’exploitation réutilisés apparaissent dans des campagnes ciblant l’Ukraine et d’autres régions.
Atténuation
Mettez à jour WinRAR vers la version 7.13+ et appliquez des listes d’applications autorisées. Réduisez l’exposition aux ADS autant que possible et surveillez le dossier de démarrage pour de nouveaux fichiers LNK, HTA, BAT, ou scripts. Appliquez les contrôles de navigation sécurisée de Google et de sécurité des courriels pour bloquer les archives malveillantes plus tôt.
Réponse
Détectez la création de fichiers dans le chemin de démarrage liée à l’extraction RAR, notamment les raccourcis et les scripts. Corrélez les alertes avec des noms de fichiers et des hashes connus, mettez en quarantaine les hôtes affectés, confirmez la famille de malwares, et supprimez la persistance de démarrage lors de la réponse à l’incident.
Flux d’Attaque
Détections
Fichiers Suspects Extraits d’une Archive (via file_event)
Voir
Binaire / Scripts Suspects dans l’Emplacement de Démarrage Automatique (via file_event)
Voir
Tentative d’Exploitation Possible du CVE-2025-8088 / CVE-2025-6218 (Vulnérabilité WinRAR) (via file_event)
Voir
IOCs (HashSha256) pour détecter : Divers Acteurs de Menace Exploitant la Vulnérabilité Critique de WinRAR CVE-2025-8088 Partie 2
Voir
IOCs (HashSha256) pour détecter : Divers Acteurs de Menace Exploitant la Vulnérabilité Critique de WinRAR CVE-2025-8088 Partie 1
Voir
Détection de Fichiers LNK Malveillants dans les Archives WinRAR pour la Persistance [Événement de Fichier Windows]
Voir
Détection de Fichier LNK Malveillant dans l’Archive WinRAR Exploitant le CVE-2025-8088 [Événement de Fichier Windows]
Voir
Exécution de Simulation
Pré-requis : La vérification préliminaire de télémétrie et de baseline doit avoir été réussie.
Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le synopsis DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif de l’Attaque & Commandes :
Un attaquant prépare une archive RAR malveillante qui intègre un raccourci Windows (malicious.lnk) comme un Flux de Données Alternatif attaché à un PDF ayant l’apparence d’un leurre (innocuous.pdf). En utilisant le CVE-2025-8088, l’attaquant sait que WinRAR extraira l’ADS directement dans le chemin cible sans assainir le nom du flux. L’archive est livrée à la machine de la victime (par exemple, via phishing). L’attaquant exécute ensuite WinRAR en mode silencieux pour extraire la charge utile directement dans le dossier de démarrage de l’utilisateur actuel, obtenant ainsi la persistance.- Créer la charge utile LNK malveillante (un raccourci qui lance
cmd.exe /c calc.exe). - Attachez le LNK en tant que ADS à
innocuous.pdfà l’intérieur du RAR. - Livrez le RAR à la victime.
- Exécutez l’extraction WinRAR dans le répertoire de Démarrage.
- Créer la charge utile LNK malveillante (un raccourci qui lance
-
Script de Test de Régression :
# -------------------------------------------------------------- # Script PowerShell pour simuler la persistance LNK‑ADS du CVE-2025-8088 # -------------------------------------------------------------- # 1. Variables $tempDir = "$envTEMPLNK_ADS_Test" $pdfPath = "$tempDirinnocuous.pdf" $lnkPath = "$tempDirmalicious.lnk" $rarPath = "$tempDirmalicious.rar" $startupPath = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup" # Assurez un espace propre Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue New-Item -ItemType Directory -Path $tempDir | Out-Null # 2. Créez un faux PDF (un fichier vide fonctionne pour la démonstration ADS) New-Item -ItemType File -Path $pdfPath | Out-Null # 3. Créez un LNK malveillant pointant vers la calculatrice $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) $shortcut.TargetPath = "calc.exe" $shortcut.WindowStyle = 1 $shortcut.Save() # 4. Emballez le PDF et attachez le LNK en tant que ADS à l'aide de WinRAR CLI # La syntaxe crée un ADS nommé "malicious.lnk" attaché au PDF. & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk" # 5. Extrayez directement le RAR dans le dossier de démarrage (mode silencieux) & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath # 6. Vérifiez que le LNK existe maintenant dans Démarrage (sera visible comme un .lnk normal) $extractedLnk = Join-Path $startupPath "malicious.lnk" if (Test-Path $extractedLnk) { Write-Host "[+] Raccourci malveillant déployé dans Démarrage : $extractedLnk" } else { Write-Error "[-] Raccourci non trouvé – l'extraction a peut-être échoué." } # -------------------------------------------------------------- # Fin du script # -------------------------------------------------------------- -
Commandes de Nettoyage :
# Supprimez le raccourci malveillant de Démarrage $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk" if (Test-Path $lnk) { Remove-Item -Force $lnk } # Supprimez les fichiers et répertoires temporaires $temp = "$envTEMPLNK_ADS_Test" if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }
Fin du Rapport