本文报道俄黑客组织持续利用已修复近一年的 WinRAR 路径遍历漏洞(CVE-2025-8088)攻击乌克兰机构,并分析漏洞利用机制、攻击链演变及补丁安装率低的根本原因。
📝 详细摘要
文章基于趋势科技报告,报道与俄罗斯有关联的威胁组织(SHADOW-EARTH-066 和 Earth Dahu / Gamaredon)在 2026 年仍持续利用 WinRAR 的 CVE-2025-8088 漏洞攻击乌克兰目标。文章详细解析了漏洞利用 NTFS 备用数据流(ADS)的攻击机制,对比了两个组织的攻击链差异:SHADOW-EARTH-066 已从基础 Excel 宏升级为内存 DLL 加载和加密 C2 的复杂载荷,而 Earth Dahu 仍使用脚本和 HTA 文件。核心分析指出,漏洞持续有效的主要原因并非技术难度,而是 WinRAR 不支持自动更新和企业补丁管理渠道(如 WSUS、SCCM),导致补丁安装率极低。文章最后给出了针对性的企业检测与应对建议。
💡 主要观点
- 俄黑客组织持续利用已修复的 WinRAR 漏洞攻击乌克兰。 CVE-2025-8088 在 2025 年 7 月修复,但截至 2026 年 4 月仍被多个威胁组织用于针对性攻击,说明补丁覆盖存在严重滞后。
💬 文章金句
- 核心问题不在于漏洞本身,而在于补丁安装率。
- WinRAR 不支持自动更新和组策略配置,也无法通过 WSUS、SCCM 或 Intune 等企业补丁渠道分发,导致其几乎不会出现在标准漏洞管理程序的监测范围内。
📊 文章信息
AI 初评:82
来源:FreeBuf
作者:FreeBuf
分类:软件编程
语言:中文
阅读时间:7 分钟
字数:1731
标签: 安全, 漏洞分析, 威胁情报, 恶意软件, 企业安全