Des chercheurs de Trend Micro ont découvert une vulnérabilité zero day dans le logiciel 7-Zip. Un groupe de cybercriminels russes a exploité cette faille pour contourner les protections Windows et cibler plusieurs institutions ukrainiennes.

Avez-vous mis à jour votre version de 7-ZIP ? © monticello / Shutterstock
Avez-vous mis à jour votre version de 7-ZIP ? © monticello / Shutterstock

Une vulnérabilité de sécurité dans le logiciel d'archivage 7-Zip a été identifiée par les chercheurs de Trend Micro. Répertoriée sous la référence CVE-2025-0411, cette faille permettait de contourner une protection essentielle de Windows : le « Mark of the Web »(MotW). Cette fonctionnalité de sécurité ajoute normalement une balise spéciale aux fichiers téléchargés depuis Internet pour les soumettre à des contrôles supplémentaires.

On vous avait déjà parlé de cette faille du logiciel de compression et décompression sur Clubic, mais on apprend que cette vulnérabilité a été exploitée dans une campagne d'attaques ciblées contre des organisations ukrainiennes.

La sophistication de la technique d'attaque

Pour entrer dans les détails et comprendre la méthodologie des hackers, Peter Girnus, chercheur chez Trend Micro, explique le principe de l'imbrication des archives. « La cause fondamentale de la vulnérabilité CVE-2025-0411 est qu'avant la version 24.09, 7-Zip ne propageait pas correctement les protections MoTW au contenu des archives à double encapsulation ». Les attaquants plaçaient un fichier malveillant dans une première archive, elle-même intégrée dans une seconde archive. Si l'archive externe conservait bien l'étiquette MotW, l'archive interne en était dépourvue. Cette technique permettait aux fichiers dangereux d'échapper aux contrôles de sécurité de Windows Defender SmartScreen, que Windows a par ailleurs récemment réparé.

Les pirates ont également utilisé des homoglyphes, des caractères ressemblant aux lettres standard, mais appartenant à d'autres alphabets, comme le cyrillique. Cette astuce leur permettait de masquer la vraie nature des fichiers exécutables en les faisant passer pour des documents ordinaires. Le caractère cyrillique « С » par exemple, identique visuellement au « C » ASCII, appartient à un système de codage différent. Bien vu, l'aveugle, comme le dit l'expression.

Les hackers ont exploité la faille de 7-ZIP dans des attaques ciblant l'Ukraine - © PX Media / Shutterstock
Les hackers ont exploité la faille de 7-ZIP dans des attaques ciblant l'Ukraine - © PX Media / Shutterstock

Des cibles stratégiques en Ukraine

Comme si le conflit entre la Russie et l'Ukraine n'était pas assez compliqué, les attaques ont touché un large éventail d'organisations ukrainiennes. Les pirates ont envoyé des e-mails malveillants depuis des comptes gouvernementaux légitimes préalablement compromis. Parmi les cibles, on trouve des services publics essentiels comme Kyivvodokanal, la société d'approvisionnement en eau de Kiev, et Kyivpastrans, le service de transport public de la capitale. Des institutions gouvernementales ont également été visées, notamment le Service exécutif d'État du ministère de la Justice et l'Administration d'État du district de Verkhovyna.

Le secteur industriel n'a pas été oublié, avec des attaques contre l'usine de construction automobile de Zaporizhia (PrJSC ZAZ) et la société SEA, qui fabrique des appareils électroménagers et du matériel électronique. D'autres secteurs comme la santé (pharmacie régionale de Dnipro), les assurances (VUSA) et l'administration locale (conseil municipal de Zalishchyky) ont aussi été ciblés.

Sources : Ars Technica, Trend Mico