Est-ce que les utilisateurs de WinRAR sont en danger ?
- , le 22 septembre 2023
- 0 h 45 min
Un acteur malveillant a publié sur GitHub une fausse preuve de concept pour une vulnérabilité WinRAR récemment divulguée, dans le but d’infecter les utilisateurs qui ont téléchargé le code avec le logiciel malveillant Venom RAT.
« Le faux PoC destiné à exploiter cette vulnérabilité WinRAR était basé sur un script PoC accessible au public qui exploitait une vulnérabilité par injection SQL dans une application appelée GeoServer, qui est répertoriée comme CVE-2023-25157 », a déclaré Robert Falcone, chercheur de l’unité 42 de Palo Alto Networks.
Alors que les faux PoC sont devenus un moyen bien documenté de cibler la communauté des chercheurs, l’entreprise de cybersécurité soupçonne que les acteurs de la menace ciblent de manière opportuniste d’autres escrocs susceptibles d’adopter les dernières vulnérabilités dans leur arsenal.
whalersplonk, le compte GitHub qui hébergeait le dépôt, n’est plus accessible. Le PoC aurait été réalisé le 21 août 2023, quatre jours après l’annonce publique de la vulnérabilité.
CVE-2023-40477 concerne un problème de validation incorrecte dans l’utilitaire WinRAR qui pourrait être exploité pour réaliser une exécution de code à distance (RCE) sur les systèmes Windows. Elle a été corrigée le mois dernier par les responsables dans la version WinRAR 6.23, en même temps qu’une autre faille activement exploitée, répertoriée sous le nom de CVE-2023-38831.
Une analyse du dépôt révèle un script Python et une vidéo Streamable démontrant comment utiliser l’exploit. La vidéo a été visionnée 121 fois au total.
Le script Python, au lieu d’exécuter le PoC, se connecte à un serveur distant (checkblacklistwords[.]eu) pour récupérer un exécutable nommé Windows.Gaming.Preview.exe, qui est une variante du RAT Venom. Il est capable de dresser la liste des processus en cours et de recevoir des commandes d’un serveur contrôlé par un acteur (94.156[.]253[.]109).
Un examen plus approfondi de l’infrastructure de l’attaque montre que l’acteur de la menace a créé le domaine checkblacklistwords[.]eu au moins 10 jours avant la divulgation publique de la faille, puis a rapidement profité de la criticité du bogue pour attirer des victimes potentielles. »Un acteur inconnu a tenté de compromettre des individus en publiant un faux PoC après l’annonce publique de la vulnérabilité, pour exploiter une vulnérabilité RCE dans une application bien connue », a déclaré Falcone. »Ce PoC est faux et n’exploite pas la vulnérabilité de WinRAR, ce qui suggère que l’acteur a essayé de tirer profit d’un RCE très recherché dans WinRAR pour compromettre d’autres personnes.
