近几个月,全球网络安全团队发现,攻击者发起的复杂攻击活动数量大幅增加,这些活动通过利用 Windows 和 Linux 系统的漏洞,实现未授权的系统访问。
这类攻击通常以钓鱼邮件或恶意网页内容为开端,旨在分发植入了恶意代码的文档。一旦受害者打开文档,其中隐藏的漏洞利用代码就会针对常用软件组件中未打补丁的漏洞发起攻击,使攻击者能够在受害者设备上执行任意代码。
由于企业难以跟上补丁管理的节奏,攻击者将更多注意力集中在 “高影响漏洞” 上 —— 这些漏洞在许多环境中仍未得到修复。
Securelist(安全研究机构)的研究人员发现,微软 Office 公式编辑器(Equation Editor)中存在的多个长期未解决漏洞,仍是攻击者青睐的初始访问途径。
CVE-2018-0802 和 CVE-2017-11882 均为公式编辑器组件中的远程代码执行漏洞,尽管相关补丁已发布多年,但这两个漏洞仍被攻击者频繁利用。
此外,影响 Office 和写字板(WordPad)的漏洞 CVE-2017-0199,也为攻击者提供了另一种 payload(恶意有效载荷)分发途径。
这些 Office 漏洞通常会与较新的 Windows 文件资源管理器及驱动程序漏洞结合使用 —— 例如,CVE-2025-24071(可通过.library-ms 文件窃取 NetNTLM 凭据)和 CVE-2024-35250(ks.sys 驱动程序代码执行漏洞),通过这种组合,攻击者可在目标系统中建立立足点并提升权限。
除微软 Office 外,攻击者还利用了 WinRAR(压缩软件)在归档文件处理中的缺陷。CVE-2023-38831(文件处理漏洞)和目录遍历漏洞 CVE-2025-6218,可让攻击者将恶意文件放置到预期解压路径之外的位置,进而劫持系统配置或植入用于持久化控制的后门程序。
在 Linux 系统方面,“脏管道” 漏洞(Dirty Pipe,CVE-2022-0847)仍是攻击者用于权限提升的关键选择;同时,CVE-2019-13272 和 CVE-2021-22555 这两个漏洞,也仍被用于在未打补丁的服务器上获取 root(超级管理员)权限。
一种格外隐蔽的感染机制,将 “基于 Office 的分发方式” 与 “对系统驱动程序的二次漏洞利用” 相结合。Securelist 的分析师指出,攻击者会构造包含 shellcode(壳代码)的 RTF 文档,该 shellcode 通过 OLE(对象链接与嵌入)对象调用公式编辑器。
漏洞被触发后,shellcode 会下载一个两阶段 payload:一个小型加载器(loader)和一个功能完整的恶意软件二进制文件。
加载器利用 CVE-2025-24071 漏洞,从传入的 SMB(服务器消息块,用于文件共享)连接中窃取 NetNTLM 哈希值,并将其转发至 C2(命令与控制)服务器。
随后,完整的 payload 会利用 CVE-2024-35250 漏洞,将恶意驱动程序加载到内核空间,使攻击者获得无限制的代码执行权限。
这种 “双重漏洞利用链” 能让攻击者绕过用户级别的防御措施,悄无声息地部署 rootkit(根工具包,可隐藏恶意软件存在的工具)。
已在网上公开的 Payload(来源:Securelist)
在多起事件中,攻击者一旦获得内核级控制权,就会安装自定义的 C2 框架(如 Sliver 或 Havoc)以维持持久化访问。
这些植入程序包含内存保护机制以规避杀毒软件扫描,并利用合法的 Windows 服务来伪装成正常进程,隐藏自身踪迹。
通过将公开已知的漏洞串联利用,攻击者无需向磁盘写入可疑文件,就能快速从 “初步入侵” 推进到 “完全控制系统”。
这份汇总信息表明,旧漏洞与新漏洞会同时被攻击者利用,这凸显了 “及时打补丁” 和 “全面纵深防御策略” 的重要性。
企业应优先为用户应用程序和系统组件安装更新,以降低这些常见漏洞在实际攻击中被利用的风险。
- 远程代码执行(RCE,Remote Code Execution):指攻击者通过漏洞在远程目标设备上执行任意代码的能力,是危害极高的漏洞类型,可能导致设备完全被控制。
- 权限提升(Privilege Escalation):攻击者通过漏洞或技术手段,将自身在系统中的操作权限从低级别(如普通用户)提升至高级别(如管理员、root)的行为。
- NetNTLM 哈希值:Windows 系统中用于认证的凭据哈希,攻击者窃取后可通过 “哈希传递” 等技术冒充合法用户登录系统,无需获取明文密码。
- 内核空间(Kernel Space):操作系统内核运行的内存区域,具有最高系统权限,恶意代码若加载到内核空间,可绕过大部分用户级安全防护。
- 目录遍历(Directory Traversal):一种文件路径操纵漏洞,攻击者可通过构造特殊路径,访问预期目录之外的文件或目录,可能导致敏感信息泄露或恶意文件植入。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
已在网上公开的 Payload(来源:Securelist)
