Les acteurs de la menace pourraient inciter les utilisateurs à exécuter du code malveillant envoyé dans des fichiers fabriqués avec des noms incompatibles.
Meta est averti des utilisateurs de WhatsApp d’un problème affectant ses déploiements Windows qui pourraient permettre aux attaquants d’effectuer l’exécution de code distant (RCE) sur les systèmes exécutant les versions vulnérables.
Suivi sous le nom de CVE-2025-30401, le défaut permet potentiellement aux acteurs de la menace de inciter les utilisateurs à exécuter des fichiers crafés avec malveillance avec des extensions de nom de fichier trompeuses.
Le bogue a été signalé à Meta par un chercheur externe via la soumission de Bounty Bug Meta et a été corrigé dans la version 2.2450.6.
Utilisateurs usurpés avec un type de fichier incompatible
Selon une description de la base de données de vulnérabilité nationale (NVD), toutes les versions de WhatsApp Desktop pour Windows avant la version 2.2450.6 affiché des fichiers de pièce jointe aux utilisateurs en fonction de leur type d’extension de messagerie Internet polyvalente (MIME).
Cependant, une fois cliqué pour la visualisation, un gestionnaire d’ouverture de fichiers a été sélectionné en fonction de l’extension de nom de fichier de la pièce jointe.
« Un décalage malicieusement fabriqué aurait pu faire en sorte que le destinataire exécute par inadvertance un code arbitraire plutôt que de voir la pièce jointe lors de l’ouverture manuelle de l’attachement à l’intérieur de WhatsApp », a déclaré Meta dans un avis.
Brown met en garde les utilisateurs contre la gestion à la hâte des fichiers externes. « Tout le monde devrait être prudent lors de la cliquetis sur les pièces jointes, même auprès des personnes qu’ils connaissent, et les utilisateurs de WhatsApp devraient être particulièrement vigilants. »
Meta n’a pas encore révélé si le défaut a été activement exploité dans la nature.
WhatsApp fait un vecteur d’attaque populaire
WhatsApp a été fréquemment ciblé dans le passé pour sa popularité en tant que plate-forme de chat cryptée. Avec plus de 10 milliards de téléchargements sur Google Play Store, la plate-forme constitue une cible lucrative pour les acteurs de la menace.
Une surveillance de sécurité similaire a été signalée en juillet 2024 pour affecter le client WhatsApp Windows, permettant l’exécution de scripts arbitraires Python et PHP sur des systèmes vulnérables avec des environnements de codage appropriés installés.
Commentant l’exploitabilité des défauts liés aux «pièces jointes» dans les logiciels populaires, Nico Chiaraviglio, scientifique en chef de Zimperium, a déclaré que «les pièces jointes restent l’un des vecteurs les plus courants pour la livraison de contenu malveillant. Bien que ce cas spécifique implique WhatsApp pour les fenêtres, les plates-formes mobiles ne sont pas exemptées.
Les attaquants exploitent régulièrement les pièces jointes des fichiers pour contourner la confiance des utilisateurs et livrer des logiciels malveillants, des charges utiles de phishing ou exploiter les vulnérabilités. » Dans une approche différente, une vulnérabilité zéro cliquez sur les versions de téléphone mobile de WhatsApp aurait été exploitée dans des abus zéro jour pour installer les logiciels espions en graphite de Paragon en 2024.
