21/07/2024

Actu CybersécuritéLogiciel - OS

WinRAR (CVE-2023-40477) : une simple archive RAR pour exécuter une commande sur Windows

Utilisé par des millions d'utilisateurs, l'application WinRAR contient une faille de sécurité critique qui permet l'exécution d'une commande arbitraire simplement à l'ouverture d'une archive RAR ! Fort heureusement, une mise à jour est disponible !

Pour rappel, WinRAR est une application pour Windows qui facilite la gestion d'archives compressées, dans différents formats, au même titre que l'application 7-Zip.

Découverte par un chercheur de l'équipe Zero Day Initiative, cette vulnérabilité associée à la référence CVE-2023-40477 a été signalée à l'éditeur de WinRAR, à savoir RARLAB, le 8 juin 2023. Elle hérite d'un score CVSS de 7.8 sur 10. Dans un bulletin de sécurité mis en ligne par la ZDI, on peut lire : "La faille de sécurité se trouve dans le traitement des volumes de récupération."

En exploitant cette faille de sécurité, un attaquant peut exécuter une commande arbitraire sur la machine sur laquelle l'archive compressée est ouverte. Cette commande sera exécutée avec le niveau de permission du processus WinRAR. Cela signifie que l'exploitation de cette vulnérabilité implique une action de la part de l'utilisateur. Mais bon, soyons objectifs : faire ouvrir une archive compressée à un utilisateur, cela ne devrait être trop difficile, et compte tenu du nombre important d'utilisateurs de WinRAR, certains vont forcément mordre à l'hameçon.

Cette vulnérabilité peut permettre à un attaquant d'installer un malware sur la machine, à l'aide d'une archive compressée malveillante.

Comment se protéger ?

Le 2 août 2023, RARLAB a mis en ligne WinRAR 6.23, une version qui corrige la faille de sécurité CVE-2023-40477. Le journal des modifications de cette version de WinRAR met aussi en évidence un correctif pour une autre faille de sécurité. Forcément, si vous utilisez WinRAR, il est fortement conseillé d'installer la mise à jour dès que possible.

Dans les mois à venir, il est possible que l'utilisation de WinRAR devienne facultative puisque Microsoft envisage d'ajouter le support natif de plusieurs formats d'archives à son système Windows 11 : 7z (7-zip), RAR et GZ.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.