论及解压缩软件，WinRAR应该算是知名度最高的其中一款，在今年有多项漏洞揭露引起外界关注，例如：4月揭露的安全机制绕过漏洞CVE-2025-31334，以及6月公布的路径穿越漏洞CVE-2025-6218，如今有一项新漏洞的细节公布引起外界关注，原因是这项漏洞已被用于实际攻击行动。

另一项微软在今年4月缓解的Exchange Server资安漏洞发展也相当值得留意，资安机构Shadowserver基金会指出，他们这几天侦测到全球有2.8至2.9万台服务器尚未修补，呼吁IT人员应儘速处理。

?

【攻击与威胁】

WinRAR紧急修补零时差漏洞，俄罗斯骇客RomCom已用来散布恶意软件

7月30日软件开发业者Rarlab发布7.13版WinRAR，提及这一版更新修补路径穿越漏洞CVE-2025-8088，影响7.12之前的WinRAR，攻击者可透过特製的压缩档来触发。通报此漏洞的ESET昨天发布警告，揭露这项漏洞已被用于实际攻击行动。由于WinRAR并未提供自动更新机制，用户应儘速手动更新。

这项漏洞被发现的缘由，是ESET发现名为RomCom、Storm-0978、UNC2596、Tropical Scorpius的俄罗斯骇客组织，在攻击行动里利用未知的WinRAR漏洞，藉此于欧洲及加拿大的金融、製造、国防、物流产业发动攻击，部署SnipBot、RustyClaw、Mythic等恶意程序。由于这些骇客在攻击流程利用零时差漏洞的情况已有先例，促使他们着手调查并通报此事。

此漏洞被登记为CVE-2025-8088，4.0版CVSS风险评为8.4，ESET指出是运用NTFS文件系统的替代资料串流（Alternate Data Streams，ADS）来达到路径穿越的目的，与Rarlab于今年6月修补的另一个漏洞CVE?2025?6218类似。该漏洞的可怕之处在于，攻击者能将恶意文件隐藏于压缩档里，一旦执行解压档，这些文件会静悄悄部署到受害电脑。

Exchange Server权限提升漏洞有2.9万台系统曝险

微软发出安全公告，警告Exchange Server混合部署模式存在重大漏洞CVE-2025-53786，可使攻击者在某些状况下提高权限，并提及这项漏洞其实已在今年4月18日发布的修补程序得到缓解，但值得留意的是，迄今仍有超过2.8万台Exchange Server曝险。

但根据非营利组织The Shadowserver研究人员扫瞄结果，从IP位址来看，未安装修补程序的Exchange Server一直处于近2.9万，未曾明显减少。到8月10日，依然还有29,098个IP位址。其中欧洲以1.4万个占最大比例，北美和亚洲次之，各有近8,400及5,000个IP位址。

这项漏洞的严重程度，可从美国网路安全暨基础设施安全局（CISA）对联邦机构发布紧急指令，要求採取相关行动，并限期在美东时间8月11日上午9时前完成，其中一项是执行微软提供的指令码来进行盘点。

勒索软件Anubis攻击Windows、安卓装置窃取资料、删除文件

资安公司BitSight近日发布State of the Underground 2025报告，揭露Anubis的攻击手法及受害者样貌。Anubis着重特定产业，如医疗、营建和专业服务组织。目前确知其受害者分布于美国、法国、澳洲及祕鲁。其中澳洲一家医院遭其窃走病患个资、医疗资讯及保险卡资讯。

目前Anubis受害者涵括Android和Windows装置。在Android平台上，它主要以银行木马形式出现。它常利用大量文字简讯散布以扩大攻击面、使用冒充登入提示的外覆（overlay）画面、萤幕和键盘侧录来窃取凭证。受害者会被锁住无法登入，而它一旦找到目标文件就会外送到攻击者控制的服务器。

在Windows平台上，Anubis就发挥RaaS的攻击能力，包括会利用凭证提升权限、并在加密文件后删除文件、移除磁碟区阴影拷贝（Volume Shadow Copy）避免回复可能性、它还会终止特定系统服务以利其加密及进一步降低回复可能性。

其他攻击与威胁

◆450家美国企业惨遭勒索软件Royal、BlackSuit毒手

◆荷兰警告Citrix NetScaler重大漏洞已被用于攻击关键基础设施

◆北韩骇客Kimsuky内部资料遭公开，作案工具与目标名单曝光

?

【漏洞与修补】

故事化叙事结合多轮脉络引导，可诱使GPT-5输出危险内容

OpenAI在GPT-5的设计中投入了更严密的安全防护，目标是在生成过程中避免模型被利用输出有害内容。不过，人工智慧安全公司NeuralTrust研究指出，即便在强化后的防护架构下，特定多轮对话策略仍能绕过限制，尤其当故事化叙事（Storytelling）与回音室效应（Echo Chamber）结合时，模型依然可能逐步被诱导生成高风险资讯。

研究团队以GPT-5聊天版本（gpt-5-chat）为测试对象，先在对话中植入低显着度的关键词，并以故事情境包装，使模型在后续回合持续补充细节。表面上，这些对话只是单纯的情节延伸，没有直接触及敏感关键字或显性意图。但是透过多轮回音式强化，脉络会在不易察觉的情况下逐步偏向敏感领域，最终出现与原本安全检测目标冲突的内容。

Claude Code曝高风险漏洞，可被滥用存取文件与执行未经授权命令

资安公司Cymulate揭露Anthropic的人工智慧开发工具Claude Code，存在两项高风险弱点，分别为CVE-2025-54794与CVE-2025-54795，可被用于绕过目录範围限制以读取文件，并在无需用户确认下执行未授权命令。Anthropic已在研究预览期间接获通报并完成修补，两者CVSS分别为7.7与8.7。

Anthropic已针对两项问题发布修补版本，路径限制绕过影响v0.2.111以前版本，命令注入影响v1.0.20以前版本。研究人员建议使用者与团队立即更新至上述或更高版本，并在更新后检查工具设定与权限配置。

其他攻击与威胁

◆Jenkins外挂程序存在重大漏洞，1.5万台服务器恐曝险

◆全录列印流程自动化软件FreeFlow存在资安漏洞，恐被用于SSRF、RCE攻击

?

近期资安日报

【8月11日】SonicWall防火墙近期遭勒索软件攻入的原因出炉：骇客利用已知漏洞从事攻击

【8月8日】越南骇客窃资软件攻击行动升温，逾20万组帐密遭窃

【8月7日】Linux恶意程序滥用身分验证模组PAM隐匿行蹤