Categories: RisquesSécurité

Sécurité IT : y a-t-il une faille dans WinRAR ?

Faille ou pas faille ?

C’est la question qui se pose après les révélations de Mohammad Raza Espargham.

Ce chercheur en sécurité informatique a lancé l’alerte le 28 septembre sur SecureList. Il attire l’attention sur une vulnérabilité découverte dans WinRAR, le logiciel de (dé)compression de fichiers utilisé par « plus de 500 millions de personnes » à travers le monde.

La vulnérabilité en question touche toutes les versions de WinRAR jusqu’à la 5.21, dernière en date. Les risques qu’elle présente – exécution de code à distance sans privilèges particuliers et avec une intervention minimale de l’utilisateur – lui valent une note de 9,2 sur 10 dans l’échelle de criticité.

Le problème réside au niveau de la fonction « Texte et icône » dans le menu des options avancées accessible lors de la création d’une archive autoextractible (format SFX). Il est possible d’insérer du code HTML qui, lorsqu’il est exécuté à l’ouverture de l’archive, déclenche le téléchargement d’une charge utile malveillante.

Testée sur Windows 7 et Windows Server 2008, la faille est confirmée par Malwarebytes, qui précise toutefois avoir dû modifier la preuve de concept (PoC) proposée par Mohammad Raza Espargham afin qu’elle fonctionne (il s’agit peut-être d’une simple incompatibilité avec la version de Perl utilisée par le chercheur iranien).

Du côté de WinRAR, on relativise la situation : pas de correctif à l’ordre du jour… car on ne peut pas parler de vulnérabilité.

Les équipes de développement ont tenu à s’expliquer. Leur billet, rédigé dans un anglais assez approximatif, met l’accent sur la nature même des archives SFX : elle sont potentiellement tout aussi dangereuses qu’un exécutable ; c’est à l’utilisateur de se méfier des fichiers à la provenance douteuse.

Et de préciser qu’il « n’y a pas besoin d’exploiter une faille » pour élaborer une archive infectée. Consulter la documentation relative à la création d’archives SFX suffit.

On y découvre notamment la commande « Setup », qui permet d’exécuter un fichier. Mais aussi « Silent », qui saute la fenêtre de validation. Et « Overwrite », qui empêche l’affichage d’un message au cas où il existerait déjà un fichier du même nom dans le dossier de destination. Tout peut donc se passer au nez et à la barbe de la victime, sans technique particulière de hacking.

Code HTML accepté…

Crédit photo : 3DDock – Shutterstock.com

Recent Posts

Comment Chrome OS grignote la domination de Windows

Face à l'hégémonie de Windows, la croissance de Chrome OS se maintient pour atteindre près…

3 jours ago

Cybersécurité : l’État se mobilise pour la souveraineté

La souveraineté est l'axe principal de la stratégie nationale de cybersécurité annoncée par le gouvernement…

4 jours ago

Cybersécurité : la menace des ransomwares au plus haut

L'année 2020 a été marquée par un record d'attaques par ransomware, selon le dernier rapport…

1 semaine ago

Surface Duo : que faire avec ce double écran ?

Surface Duo fait ses débuts en France avec une entrée de gamme à 1549 €.…

1 semaine ago

Viva : nouvelle approche de Microsoft pour la digital workplace

Sous la marque Viva, Microsoft veut développer une offre d'espace de travail « à la…

2 semaines ago

Transformation numérique : les métiers les plus recherchés en 2021

En France, la transformation numérique reste un moteur pour les métiers de l'IT. Les experts…

3 semaines ago