« Malgré la publication d’un correctif, cette vulnérabilité continue d’être exploitée comme une vulnérabilité n-day », Google Threat Intelligence Group. Corrigée à l’été 2025, une faille critique de WinRAR alimente toujours des campagnes malveillantes bien réelles, illustrant celle d’une vulnérabilité techniquement résolue, mais opérationnellement persistante.
Une vulnérabilité n-day toujours exploitée
La faille identifiée dans WinRAR repose sur un mécanisme de traversée de répertoires permettant « l’écriture de fichiers arbitraires en dehors du répertoire d’extraction prévu ». Un comportement corrigé avec la version 7.13 du logiciel, publiée en juillet 2025. Sur le papier, le risque est donc traité.
Dans les faits, Google observe qu’« un nombre significatif de systèmes continuent d’exécuter des versions vulnérables », maintenant ainsi une surface d’attaque exploitable. Tant que ces versions restent déployées, la vulnérabilité conserve toute sa valeur opérationnelle pour les attaquants.
Des campagnes multiples, un même levier technique
L’analyse met en évidence une exploitation qui dépasse largement un cadre ou une motivation unique. La vulnérabilité est utilisée « dans le cadre d’opérations disparates », sans schéma homogène ni temporalité commune.
Google précise que « des acteurs malveillants soutenus par des gouvernements liés à la Russie et à la Chine, ainsi que des acteurs malveillants motivés par des intérêts financiers, continuent d’exploiter cette vulnérabilité n-day ».
La persistance comme stratégie implicite
Sur le plan technique, l’exploitation repose sur l’utilisation de flux de données alternatifs afin de masquer des fichiers malveillants dans des archives RAR apparemment légitimes. Google décrit un scénario dans lequel ces fichiers sont extraits vers « des emplacements sensibles du système, notamment le dossier de démarrage Windows », leur permettant de s’exécuter automatiquement au redémarrage.
Google insiste sur le fait que « l’exploitation repose sur la confiance implicite accordée aux fichiers d’archives », un vecteur toujours efficace dans des environnements où ces formats sont largement utilisés au quotidien.
Ce qu’il faut faire pour se protéger
Face à ce type de menace, Google rappelle que « la mise à jour vers WinRAR 7.13 ou une version ultérieure est essentielle pour éliminer l’exposition à cette vulnérabilité ».
Le groupe souligne également l’importance de mécanismes de protection capables « d’identifier et de bloquer les archives exploitant cette vulnérabilité » avant leur ouverture, notamment via les outils de filtrage web et de messagerie. Enfin, Google insiste sur un principe simple mais toujours d’actualité : « la prudence lors de l’ouverture d’archives provenant de sources non fiables reste un facteur clé de réduction du risque ».
