攻击者利用Windows与Linux漏洞实施系统入侵的实战分析

摘要：Part01漏洞利用态势升级全球网络安全团队近期监测到，攻击者利用Windows和Linux系统漏洞实施复杂攻击的活动显著增加，旨在获取未授权的系统访问权限。这类攻击通常始于钓鱼邮件或恶意网页内容，通过投递武器化文档展开攻击。当受害者打开文档时，内嵌的漏洞利用

Part01漏洞利用态势升级全球网络安全团队近期监测到，攻击者利用Windows和Linux系统漏洞实施复杂攻击的活动显著增加，旨在获取未授权的系统访问权限。这类攻击通常始于钓鱼邮件或恶意网页内容，通过投递武器化文档展开攻击。当受害者打开文档时，内嵌的漏洞利用代码会针对常用软件组件中未修复的漏洞发起攻击，使攻击者能够在受害机器上执行任意代码。由于企业普遍面临补丁管理滞后的困境，威胁行为体正集中利用那些在多数环境中仍未修复的高危漏洞。Part02重点攻击向量分析Securelist研究人员发现，Microsoft Office公式编辑器（Equation Editor）中的多个长期未修复漏洞仍是攻击者最青睐的初始入侵途径。其中：CVE-2018-0802和CVE-2017-11882（公式编辑器组件的远程代码执行漏洞）尽管已有多年修补方案，仍被广泛利用CVE-2017-0199（影响Office和WordPad的漏洞）为攻击载荷投递提供了另一条路径这些Office漏洞常与较新的Windows文件资源管理器及驱动程序漏洞组合使用，例如：CVE-2025-24071（通过.library-ms文件窃取NetNTLM凭证）CVE-2024-35250（ks.sys驱动程序代码执行漏洞）攻击者还利用WinRAR的归档处理缺陷：CVE-2023-38831目录遍历漏洞CVE-2025-6218在Linux系统方面，攻击者主要利用：Dirty Pipe漏洞（CVE-2022-0847，权限提升）CVE-2019-13272和CVE-2021-22555（获取root权限）Part03复合型感染机制Securelist分析师披露了一种结合Office文档投递与系统驱动二次利用的隐蔽感染机制：攻击者制作包含shellcode的RTF文档，通过OLE对象调用公式编辑器漏洞触发后，shellcode下载两阶段攻击载荷（小型加载器和完整功能恶意软件）完整载荷利用CVE-2024-35250将恶意驱动加载至内核空间，实现无限制代码执行