Sécurité IT : y a-t-il une faille dans WinRAR ?
Le logiciel de (dé)compression de fichiers WinRAR abrite-t-il une faille de sécurité critique liée à la création d’archives autoextractibles ? Les avis sont partagés…
Faille ou pas faille ?
C’est la question qui se pose après les révélations de Mohammad Raza Espargham.
Ce chercheur en sécurité informatique a lancé l’alerte le 28 septembre sur SecureList. Il attire l’attention sur une vulnérabilité découverte dans WinRAR, le logiciel de (dé)compression de fichiers utilisé par « plus de 500 millions de personnes » à travers le monde.
La vulnérabilité en question touche toutes les versions de WinRAR jusqu’à la 5.21, dernière en date. Les risques qu’elle présente – exécution de code à distance sans privilèges particuliers et avec une intervention minimale de l’utilisateur – lui valent une note de 9,2 sur 10 dans l’échelle de criticité.
Le problème réside au niveau de la fonction « Texte et icône » dans le menu des options avancées accessible lors de la création d’une archive autoextractible (format SFX). Il est possible d’insérer du code HTML qui, lorsqu’il est exécuté à l’ouverture de l’archive, déclenche le téléchargement d’une charge utile malveillante.
Testée sur Windows 7 et Windows Server 2008, la faille est confirmée par Malwarebytes, qui précise toutefois avoir dû modifier la preuve de concept (PoC) proposée par Mohammad Raza Espargham afin qu’elle fonctionne (il s’agit peut-être d’une simple incompatibilité avec la version de Perl utilisée par le chercheur iranien).
Du côté de WinRAR, on relativise la situation : pas de correctif à l’ordre du jour… car on ne peut pas parler de vulnérabilité.
Les équipes de développement ont tenu à s’expliquer. Leur billet, rédigé dans un anglais assez approximatif, met l’accent sur la nature même des archives SFX : elle sont potentiellement tout aussi dangereuses qu’un exécutable ; c’est à l’utilisateur de se méfier des fichiers à la provenance douteuse.
Et de préciser qu’il « n’y a pas besoin d’exploiter une faille » pour élaborer une archive infectée. Consulter la documentation relative à la création d’archives SFX suffit.
On y découvre notamment la commande « Setup », qui permet d’exécuter un fichier. Mais aussi « Silent », qui saute la fenêtre de validation. Et « Overwrite », qui empêche l’affichage d’un message au cas où il existerait déjà un fichier du même nom dans le dossier de destination. Tout peut donc se passer au nez et à la barbe de la victime, sans technique particulière de hacking.
Crédit photo : 3DDock – Shutterstock.com