攻击者利用Windows与Linux漏洞实施系统入侵的实战分析

Part01

漏洞利用态势升级

全球网络安全团队近期监测到，攻击者利用Windows和Linux系统漏洞实施复杂攻击的活动显著增加，旨在获取未授权的系统访问权限。这类攻击通常始于钓鱼邮件或恶意网页内容，通过投递武器化文档展开攻击。当受害者打开文档时，内嵌的漏洞利用代码会针对常用软件组件中未修复的漏洞发起攻击，使攻击者能够在受害机器上执行任意代码。由于企业普遍面临补丁管理滞后的困境，威胁行为体正集中利用那些在多数环境中仍未修复的高危漏洞。

Part02

重点攻击向量分析

Securelist研究人员发现，Microsoft Office公式编辑器（Equation Editor）中的多个长期未修复漏洞仍是攻击者最青睐的初始入侵途径。其中：

• CVE-2018-0802和CVE-2017-11882（公式编辑器组件的远程代码执行漏洞）尽管已有多年修补方案，仍被广泛利用
• CVE-2017-0199（影响Office和WordPad的漏洞）为攻击载荷投递提供了另一条路径

这些Office漏洞常与较新的Windows文件资源管理器及驱动程序漏洞组合使用，例如：

• CVE-2025-24071（通过.library-ms文件窃取NetNTLM凭证）
• CVE-2024-35250（ks.sys驱动程序代码执行漏洞）

攻击者还利用WinRAR的归档处理缺陷：

• CVE-2023-38831
• 目录遍历漏洞CVE-2025-6218

在Linux系统方面，攻击者主要利用：

• Dirty Pipe漏洞（CVE-2022-0847，权限提升）
• CVE-2019-13272和CVE-2021-22555（获取root权限）

Part03

复合型感染机制

Securelist分析师披露了一种结合Office文档投递与系统驱动二次利用的隐蔽感染机制：

1. 攻击者制作包含shellcode的RTF文档，通过OLE对象调用公式编辑器
2. 漏洞触发后，shellcode下载两阶段攻击载荷（小型加载器和完整功能恶意软件）
3. 加载器利用CVE-2025-24071收集传入SMB连接的NetNTLM哈希并转发至C2服务器
4. 完整载荷利用CVE-2024-35250将恶意驱动加载至内核空间，实现无限制代码执行

Part04

漏洞详情对照表

该对照表揭示了新旧漏洞并存的现状，凸显了及时打补丁和实施深度防御策略的紧迫性。企业应优先更新用户应用程序和系统组件，以降低这些常见漏洞在真实攻击中被利用的风险。

参考来源：

Threat Actors Leveraging Windows and Linux Vulnerabilities in Real-world Attacks to Gain System Access

https://cybersecuritynews.com/threat-actors-leveraging-windows-and-linux-vulnerabilities/