Détection CVE-2025-8088 : Zero-Day WinRAR exploité pour installer le malware RomCom
Table des matières :
Alors que l’été atteint son apogée, le paysage des cybermenaces s’intensifie tout aussi rapidement. Suite à la divulgation récente de CVE-2025-8292, une vulnérabilité use-after-free dans le Media Stream de Chrome, des chercheurs en sécurité ont découvert une exploitation active d’un zero-day inédit dans WinRAR permettant la diffusion du malware RomCom.
Répertoriée sous CVE-2025-8088, cette faille de traversal de chemin dans la version Windows de WinRAR permet à des attaquants d’exécuter du code arbitraire via la création d’archives malveillantes. Bien que les méthodes exactes et les acteurs derrière cette campagne restent inconnus, l’utilisation de la porte dérobée RomCom suggère une implication potentielle de groupes de hackers d’origine russe.
Détecter les tentatives d’exploitation CVE-2025-8088 pour la livraison de RomCom
Avec plus de 29 000 nouvelles vulnérabilités recensées par le NIST cette année, la course est lancée pour les équipes de cybersécurité. Si l’exploitation des vulnérabilités demeure le principal vecteur d’attaque, et alors que les menaces cybernétiques gagnent en sophistication, la détection proactive est essentielle pour réduire la surface d’attaque et atténuer les risques.
Inscrivez-vous dès maintenant sur la plateforme SOC Prime pour accéder à une vaste bibliothèque de règles de détection enrichies de contexte et à une intelligence artificielle spécialisée en cybermenaces, vous aidant à garder une longueur d’avance face aux attaques exploitant les vulnérabilités émergentes. La plateforme propose des détections sélectionnées couvrant la dernière exploitation zero-day de WinRAR pour la livraison de RomCom, soutenue par une suite complète de produits pour l’ingénierie de détection pilotée par IA, la chasse automatisée aux menaces, et la détection avancée. Cliquez sur le bouton Explorer les détections ci-dessous pour plonger dans le pack de détection dédié.
Les défenseurs cybersécurité peuvent également parcourir le Threat Detection Marketplace en utilisant les tags “RomCom” et “CVE-2025-8088” pour un contenu plus ciblé. Pour explorer un ensemble plus large de règles liées à l’exploitation de vulnérabilités, appliquez simplement le tag “CVE” pour consulter la collection complète.
Par ailleurs, les experts en sécurité peuvent optimiser l’investigation des menaces via Uncoder AI, un IDE privé et copilote pour l’ingénierie de détection basée sur les menaces. Générez des algorithmes de détection à partir de rapports bruts, lancez rapidement des balayages IOC, prédisez les tags ATT&CK, optimisez le code des requêtes grâce à l’IA et traduisez-le pour divers langages SIEM, EDR et Data Lake. Par exemple, les professionnels de la sécurité peuvent utiliser le dernier article de Bleeping Computer sur la CVE-2025-8088 pour générer en quelques clics un diagramme d’Attack Flow.
Analyse de la CVE-2025-8088
Les chercheurs en sécurité ont découvert que la vulnérabilité WinRAR, référencée CVE-2025-8088, était activement exploitée en zero-day dans des campagnes de phishing ciblées pour diffuser le malware RomCom. Cette faille de traversal de chemin affecte la version Windows de WinRAR et permet aux attaquants d’exécuter du code arbitraire en créant des archives malveillantes.
Selon l’avis de sécurité, les versions antérieures de WinRAR (incluant Windows RAR, UnRAR, le code source portable UnRAR, et UnRAR.dll) pouvaient être trompées lors de l’extraction des fichiers en utilisant un chemin malicieusement conçu à la place du chemin prévu. Cela permet aux attaquants de déposer des fichiers dans des emplacements non autorisés.
Plus précisément, les acteurs malveillants peuvent créer des archives qui extraient des exécutables malveillants dans des dossiers d’exécution automatique, tels que %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup spécifiques à l’utilisateur ou %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp au niveau machine. Cela permet au malware de s’exécuter automatiquement à la prochaine connexion de l’utilisateur, offrant aux attaquants une exécution de code à distance pour l’installation de la porte dérobée RomCom.
Il est à noter que les versions Unix de RAR, UnRAR, le code source portable UnRAR, la bibliothèque UnRAR, ainsi que RAR pour Android ne sont pas affectées par cette vulnérabilité.
La famille de malware RomCom est liée à un collectif de hackers d’origine russe, connu sous plusieurs alias, notamment UAT-5647, Storm-0978, Tropical Scorpius, UAC-0180, et UNC2596. Ce groupe est également soupçonné d’être à l’origine des opérations de ransomware Cuba. Reconnu pour ses techniques avancées de hacking, il est actif depuis au moins 2019 et est connu pour déployer plusieurs familles de malwares, y compris le RAT RomCom et SystemBC. En 2022, des acteurs malveillants ont utilisé la porte dérobée RomCom pour cibler des organismes d’État ukrainiens, ce qui suggère leurs liens possibles avec des opérations de cyberespionnage en faveur du gouvernement de Moscou.
La vulnérabilité a été découverte par les chercheurs d’ESET Anton Cherepanov, Peter Košinár et Peter Strýček, qui l’ont signalée au fournisseur. Le problème a été corrigé dans la version 7.13 de WinRAR, publiée le 30 juillet 2025, et les utilisateurs sont invités à effectuer une mise à jour rapide vers cette version sécurisée. Pour devancer les attaquants et détecter proactivement les tentatives d’exploitation, les équipes de sécurité peuvent s’appuyer sur la suite complète SOC Prime, enrichie par l’IA, l’automatisation, et une intelligence de menace en temps réel, renforçant ainsi la défense à grande échelle des organisations.
