IT-Connect » Actualités » Actu Cybersécurité » Ces pirates volent des identifiants sur les PC grâce à cette faille dans WinRAR (CVE-2023-38831)

WinRAR CVE-2023-38831 - Vol identifiants
Actu Cybersécurité Logiciel - OS 

Ces pirates volent des identifiants sur les PC grâce à cette faille dans WinRAR (CVE-2023-38831)

Florian BURNEL 725 Views Aucun commentaire , 2 min read

Des cybercriminels prorusses ont mis au point une campagne de phishing pour exploiter une faille de sécurité découverte dans WinRAR, dans l'objectif de collecter des identifiants sur les machines compromises. Faisons le point sur cette menace.

L'entreprise Cluster25 a publié un nouveau rapport qui évoque cette campagne de phishing : "L'attaque implique l'utilisation de fichiers d'archive malveillants qui exploitent la vulnérabilité récemment découverte affectant le logiciel de compression WinRAR dans les versions antérieures à la version 6.23 et répertoriée sous le nom de CVE-2023-38831."

Cette vulnérabilité a été découverte au mois d'août 2023 et elle permet d'exécuter du code arbitraire sur la machine cible par la simple ouverture d'un fichier contenu dans l'archive compressée. Comme le précise le site du NIST, cette vulnérabilité a été activement exploitée entre avril et août 2023.

Dans le cas présent, l'archive diffusée par les pirates contient un fichier PDF malveillant, qui, lors de son ouverture, entraine l'exécution d'un script Batch. Ensuite, ce script Batch est utilisé pour appeler PowerShell et exécuter d'autres commandes. Ceci permet de déployer un reverse shell sur l'hôte compromis, ce qui offre un accès distant à l'attaquant.

Dans cette archive RAR, le fichier PDF et le répertoire ont le même nom. Ce n'est pas un hasard : c'est ce qui permet d'exploiter la vulnérabilité. Lorsque le fichier PDF est ouvert, le contenu du dossier portant le même nom est exécuté également. Ainsi, ce fichier contient le script Batch.

Ensuite, toujours à l'aide de commandes PowerShell, des données sont exfiltrées de la machine à partir du site légitime webhook[.]site. En l'occurrence, les commandes PowerShell ont un but bien précis : voler les identifiants sur la machine, notamment ceux enregistrés dans les navigateurs Google Chrome et Microsoft Edge.

Si vous utilisez WinRAR, vous devez impérativement le mettre à jour pour vous protéger contre cette vulnérabilité. Par ailleurs, la dernière version de Windows 11 prend en charge le format RAR, en plus du format ZIP, ce qui peut permettre de se passer de cette application.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5580.Voir tous les posts

Vous pourrez aussi aimer

Chrome 86 renforce la sécurité sur mobile

Florian BURNEL 0
CrowdSec 1.4

CrowdSec 1.4 est disponible ! Windows est supporté officiellement !

Florian BURNEL 1
ScreenConnect - Faille de sécurité critique - CVE-2024-1709

Patchez ScreenConnect : une faille critique est exploitée par les gangs de ransomware Black Basta et Bl00dy

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.