La dernière preuve en date est un rapport de l’équipe de recherche sur les menaces de Microsoft Office 365 qui a révélé qu’elle avait été utilisée par le groupe APT “MuddyWater” pour cibler des entreprises du secteur des satellites et des communications.
Pour ceux qui ne sont pas familiers avec WinRAR, il s’agit d’un utilitaire extrêmement populaire pour la compression sous Windows, datant des années 1990, et dans lequel une entreprise de cybersécurité a découvert une sérieuse faille de sécurité de type RCE, qui existait depuis 19 ans.
WinRAR était bien trop populaire pour que les cybercriminels l’ignorent. En quelques jours, au moins 100 exploits ont fait leur apparition.
L’exploitation de cette vulnérabilité dépend d’un format de fichier obsolète appelé ACE, dont la prise en charge a été abandonnée par les développeurs de cet utilitaire avec la sortie de la version bêta 5.71 et après avoir été informé du problème avant sa divulgation.
C’était plusieurs semaines avant que son existence ne soit rendue publique, mais malheureusement, les nouvelles voyagent lentement et de nombreux utilisateurs n’ont pas réussi à installer la mise à jour à temps.
D’ailleurs, le blog de Microsoft sur les récentes attaques ciblées a servi d’avertissement pour les entreprises ou les particuliers qui ne l’avaient pas encore installée.
Détecté début mars, et considérée comme une attaque par hameçonnage (d’où le nom APT, qui désigne ce type d’attaquant) utilisant comme leurre un fichier Word prétendant provenir du ministère des Affaires étrangères (MFA) de la République Islamique d’Afghanistan.
En ouvrant ce fichier un téléchargement était alors déclenché à partir d’un lien OneDrive (désormais inactif) vers une archive contenant un deuxième fichier Word dans lequel était incorporée une macro qui pouvait, quant à elle, véritablement lancer la charge virale.
Finalement, un script PowerShell, qui ouvrait une porte dérobée de type command permettait aux attaquants de répandre le fichier ACE malveillant contenant l’exploit CVE-2018-20250.
Il s’agit d’une astuce assez complexe car les attaquants doivent tout de même inciter l’utilisateur, via une fausse boite de dialogue d’avertissement, à redémarrer le PC pour que l’attaque fonctionne. Malgré cela, ce type d’attaque pari sur le fait qu’une personne tombera dans le panneau, et c’est à priori un résultat suffisant pour une attaque ciblée.
Comme l’a fait remarquer Microsoft :
Les attaques qui ont immédiatement exploité la vulnérabilité WinRAR démontrent l’importance de la gestion des menaces et des vulnérabilités pour réduire les risques organisationnels.
Ce qui est frappant ici c’est la similitude au niveau de la conception de cette attaque, décrite par Microsoft, et celle de nombreuses autres attaques signalées et exploitant cette même vulnérabilité WinRAR.
Comment une faille de sécurité peut-elle restée cachée si longtemps ?
Comme le développement des logiciels peut être compliqué, comme l’ont indiqué les développeurs de WinRAR dans leurs notes de publication de la version corrigée :
WinRAR a utilisé cette bibliothèque tierce pour décompresser les archives ACE. UNACEV2.DLL n’avait pas été mis à jour depuis 2005 et nous n’avons pas accès à son code source. Nous avons donc décidé de supprimer la prise en charge du format d’archive ACE pour protéger la sécurité des utilisateurs WinRAR.
Corriger ou supprimer
Outre la mise à jour et/ou la suppression de WinRAR, les administrateurs peuvent choisir d’envoyer un avertissement concernant le Modus Operandi de cette attaque, en conseillant notamment de ne pas ouvrir les archives ACE quelles que soient les circonstances (en se rappelant que les archives peuvent être renommées en cas de doutes).
Un autre élément important à retenir est de ne pas partir du principe que, comme les attaques détectées jusqu’à présent étaient liées à des États-nations, cela sera toujours le cas. Les exploits commerciaux ne seront jamais bien loin derrière. Le demi-milliard d’utilisateurs signalés de WinRAR représente un grand nombre de victimes potentielles.
Billet inspiré de Flood of exploits targetting ancient WinRAR flaw continues, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.