La faille WinRAR met en évidence les acteurs russes et chinois de la menace
Ces derniers temps, les experts en sécurité ont détecté une recrudescence des cybermenaces liées à l'exploitation d'une vulnérabilité connue, CVE-2023-38831dans WinRAR, un outil d'archivage de fichiers très répandu sous Windows. Ces cybermenaces proviennent de groupes de pirates informatiques soutenus par les gouvernements russe et chinois, ce qui souligne l'urgence de maintenir des pratiques de cybersécurité vigilantes. Dans ce blog, nous allons nous pencher sur les détails de cette faille de faille de WinRAR et nous verrons comment vous pouvez protéger vos systèmes contre cette faille.
Comprendre la faille de WinRAR
CVE-2023-38831 est une vulnérabilité logique logique dans WinRAR qui permet aux attaquants d'exécuter du code arbitraire lorsqu'un utilisateur tente d'ouvrir un fichier anodin dans une archive ZIP. Cette vulnérabilité est apparue au début de l'année 2023, initialement exploitée par des cybercriminels qui ont profité du fait que les défenseurs n'étaient pas au courant. RARLabs, la société à l'origine de WinRAR, a rapidement publié une version mise à jour du logiciel en août 2023, qui a corrigé ce problème. Cependant, de nombreux utilisateurs restent vulnérables car ils n'ont pas encore mis à jour leur logiciel.
La faille trouve son origine dans la manière dont WinRAR gère l'expansion temporaire des fichiers lors du traitement d'archives spécialement conçues. Lorsqu'un utilisateur tente de visualiser un fichier dans une archive, WinRAR recherche le répertoire correspondant et extrait à la fois le fichier sélectionné et les fichiers contenus dans ce répertoire vers un emplacement temporaire. Au cours de ce processus, WinRAR normalise les chemins d'accès aux fichiers en supprimant les espaces. Cependant, une bizarrerie dans la manière dont les fonctions ShellExecute de Windows ajoutent de la complexité au problème.
Lorsque WinRAR appelle ShellExecute, il fournit un chemin d'accès avec un espace à la fin pour ouvrir le fichier sélectionné par l'utilisateur. ShellExecute tente d'identifier les extensions de fichiers et, lorsqu'il rencontre un espace dans l'extension, il utilise une logique de recherche par défaut pour identifier le fichier exécutable. C'est là que réside le nœud du problème. La présence d'un espace n'importe où dans l'extension du fichier peut déclencher la vulnérabilité, entraînant l'exécution involontaire de code.
Implications et exploitations
L'exploitation de CVE-2023-38831 a de graves conséquences. Comme l'indique un billet de blog du Group-IB, les cybercriminels exploitaient les failles de WinRAR en tant que zero-daybien avant que le public n'en prenne conscience. Ils s'en sont servis pour lancer des campagnes ciblant les traders financiers, en distribuant diverses familles de logiciels malveillants. Pour ne rien arranger, peu après la divulgation de la vulnérabilité, des générateurs de preuves de concept et d'exploits ont été mis à disposition dans des dépôts publics, ce qui a permis aux acteurs malveillants d'expérimenter plus facilement la vulnérabilité.
Campagnes par acteurs de la menace
De nombreuses campagnes ont vu le jour, soulignant la gravité de la situation :
- Les FROZENBARENTS ciblent le secteur de l'énergie : Ce groupe, qui serait lié à la direction principale de l'état-major général des forces armées russes, a ciblé le secteur de l'énergie. Il a utilisé une campagne de courriels usurpant l'identité d'une école ukrainienne de formation à la guerre des drones. Le courriel contenait un lien vers un fichier ZIP malveillant exploitant la norme CVE-2023-38831. La charge utile comprenait un voleur d'informations Rhadamanthys, qui peut collecter des informations sensibles et, étonnamment, ce voleur d'informations est généralement utilisé par les cybercriminels.
- FROZENLAKE et les organisations gouvernementales ukrainiennes : FROZENLAKE, attribué au GRU russe, a ciblé des organisations gouvernementales ukrainiennes. Il a fait appel à un hébergeur gratuit pour diffuser CVE-2023-38831 à ses victimes. Cette campagne a utilisé une fausse invitation à un événement comme appât pour diffuser des logiciels malveillants ciblant l'infrastructure énergétique.
- ISLANDDREAMS ciblant la Papouasie-Nouvelle-Guinée : Cette campagne, qui aurait été orchestrée par des groupes soutenus par le gouvernement chinois, visait la Papouasie-Nouvelle-Guinée. Ils ont utilisé un courriel d'hameçonnage avec un lien Dropbox contenant l'exploit CVE-2023-38831. La charge utile, ISLANDSTAGERest une porte dérobée .NET qui exploite l'API de Dropbox comme mécanisme de communication.
Enseignements tirés
L'exploitation généralisée du problème de sécurité problème de sécurité WinRAR souligne l'importance cruciale de rester à jour avec les correctifs logiciels. Même les attaquants les plus sophistiqués tireront parti des vulnérabilités connues, et il incombe aux utilisateurs et aux organisations de veiller à la sécurité de leurs systèmes. Il ne suffit pas d'être au courant d'une vulnérabilité ; il est essentiel d'appliquer rapidement les correctifs.
Sécuriser vos systèmes
La protection de vos systèmes contre de telles menaces nécessite une approche proactive :
- Mettre à jour WinRAR : La première étape consiste à s'assurer que l'installation de WinRAR est mise à jour avec la dernière version. RARLabs a publié des des correctifs de vulnérabilité pour WinRAR pour remédier à cette vulnérabilité, et la mise à jour de votre logiciel est le moyen le plus efficace de vous protéger.
- Adoptez une cyberhygiène vigilante : Soyez prudent lorsque vous ouvrez des pièces jointes ou des liens dans des courriels, surtout s'ils sont inattendus ou proviennent de sources inconnues. Les cybercriminels utilisent souvent l'ingénierie sociale pour inciter les utilisateurs à exécuter des fichiers malveillants.
- Exploiter les outils de sécurité : Envisagez d'utiliser des outils de sécurité tels que Safe Browsing de Google et Gmail, qui peuvent aider à bloquer les fichiers contenant des exploits connus. Ces outils constituent une couche supplémentaire de défense contre les menaces.
- Mettre en œuvre une solide stratégie de gestion des correctifs : Les organisations doivent mettre en place une stratégie de gestion des correctifs bien définie. Vérifier régulièrement la présence de mises à jour et de correctifs logiciels et les appliquer rapidement à tous les systèmes concernés.
- Formation des utilisateurs : Sensibilisez votre équipe à l'importance des mises à jour logicielles et des meilleures pratiques en matière de cybersécurité. Les utilisateurs sont souvent la première ligne de défense contre les cybermenaces.
- Surveillance et réponse aux incidents : Mettre en œuvre des systèmes de surveillance robustes et disposer d'un plan d'intervention en cas d'incident. Il est essentiel de pouvoir détecter une violation et d'y répondre afin d'atténuer les dommages potentiels.
Conclusion
Les récents exploits liés à WinRAR nous rappellent que même des vulnérabilités bien connues peuvent constituer une menace importante. Les cybercriminels et les acteurs parrainés par l'État sont prompts à exploiter ces faiblesses, d'où la nécessité d'agir rapidement. Rester à jour, sécuriser le logiciel WinRAR à l'aide de mises à jour et en adoptant des pratiques de cybersécurité vigilantes sont les clés de la protection de vos systèmes.
Ces menaces évoluent, tout comme nos défenses, et il est primordial de maintenir une approche proactive et informée de la cybersécurité. Face à ces défis, la communauté de la sécurité reste déterminée à partager les renseignements sur les menaces, mais la responsabilité de sécuriser nos systèmes incombe en fin de compte aux utilisateurs et aux organisations. Restez en sécurité.
Les sources de cet article comprennent des articles dans The Hacker News et Google.