近几个月，全球网络安全团队发现，攻击者发起的复杂攻击活动数量大幅增加，这些活动通过利用 Windows 和 Linux 系统的漏洞，实现未授权的系统访问。 这类攻击通常以钓鱼邮件或恶意网页内容为开端，旨在分发植入了恶意代码的文档。一旦受害者打开文档，其中隐藏的漏洞利用代码就会针对常用软件组件中未打补丁的漏洞发起攻击，使攻击者能够在受害者设备上执行任意代码。 由于企业难以跟上补丁管理的节奏，攻击者将更多注意力集中在 “高影响漏洞” 上 —— 这些漏洞在许多环境中仍未得到修复。 Securelist（安全研究机构）的研究人员发现，微软 Office 公式编辑器（Equation Editor）中存在的多个长期未解决漏洞，仍是攻击者青睐的初始访问途径。

 

CVE-2018-0802 和 CVE-2017-11882 均为公式编辑器组件中的远程代码执行漏洞，尽管相关补丁已发布多年，但这两个漏洞仍被攻击者频繁利用。

 

此外，影响 Office 和写字板（WordPad）的漏洞 CVE-2017-0199，也为攻击者提供了另一种 payload（恶意有效载荷）分发途径。

 

这些 Office 漏洞通常会与较新的 Windows 文件资源管理器及驱动程序漏洞结合使用 —— 例如，CVE-2025-24071（可通过.library-ms 文件窃取 NetNTLM 凭据）和 CVE-2024-35250（ks.sys 驱动程序代码执行漏洞），通过这种组合，攻击者可在目标系统中建立立足点并提升权限。

 

除微软 Office 外，攻击者还利用了 WinRAR（压缩软件）在归档文件处理中的缺陷。CVE-2023-38831（文件处理漏洞）和目录遍历漏洞 CVE-2025-6218，可让攻击者将恶意文件放置到预期解压路径之外的位置，进而劫持系统配置或植入用于持久化控制的后门程序。

 

在 Linux 系统方面，“脏管道” 漏洞（Dirty Pipe，CVE-2022-0847）仍是攻击者用于权限提升的关键选择；同时，CVE-2019-13272 和 CVE-2021-22555 这两个漏洞，也仍被用于在未打补丁的服务器上获取 root（超级管理员）权限。

感染机制

一种格外隐蔽的感染机制，将 “基于 Office 的分发方式” 与 “对系统驱动程序的二次漏洞利用” 相结合。Securelist 的分析师指出，攻击者会构造包含 shellcode（壳代码）的 RTF 文档，该 shellcode 通过 OLE（对象链接与嵌入）对象调用公式编辑器。

 

漏洞被触发后，shellcode 会下载一个两阶段 payload：一个小型加载器（loader）和一个功能完整的恶意软件二进制文件。

 

加载器利用 CVE-2025-24071 漏洞，从传入的 SMB（服务器消息块，用于文件共享）连接中窃取 NetNTLM 哈希值，并将其转发至 C2（命令与控制）服务器。

 

随后，完整的 payload 会利用 CVE-2024-35250 漏洞，将恶意驱动程序加载到内核空间，使攻击者获得无限制的代码执行权限。

 

这种 “双重漏洞利用链” 能让攻击者绕过用户级别的防御措施，悄无声息地部署 rootkit（根工具包，可隐藏恶意软件存在的工具）。

已在网上公开的 Payload（来源：Securelist）

 

在多起事件中，攻击者一旦获得内核级控制权，就会安装自定义的 C2 框架（如 Sliver 或 Havoc）以维持持久化访问。 这些植入程序包含内存保护机制以规避杀毒软件扫描，并利用合法的 Windows 服务来伪装成正常进程，隐藏自身踪迹。 通过将公开已知的漏洞串联利用，攻击者无需向磁盘写入可疑文件，就能快速从 “初步入侵” 推进到 “完全控制系统”。

漏洞详情

CVE 编号	漏洞描述	漏洞利用类型	受影响平台
CVE-2018-0802	Office 公式编辑器远程代码执行漏洞	嵌入式 OLE 对象利用	Windows
CVE-2017-11882	Office 公式编辑器远程代码执行漏洞	嵌入式 OLE 对象利用	Windows
CVE-2017-0199	通过 Office 和写字板实现控制权劫持	基于脚本的文档利用	Windows
CVE-2023-38831	WinRAR 文件处理不当漏洞	归档文件代码执行	Windows
CVE-2025-24071	通过.library-ms 文件窃取 NetNTLM 凭据	凭据提取	Windows
CVE-2024-35250	ks.sys 驱动程序任意代码执行漏洞	内核驱动程序利用	Windows
CVE-2022-0847	“脏管道” 权限提升漏洞	管道缓冲区覆盖	Linux
CVE-2019-13272	权限继承处理不当漏洞	权限提升	Linux
CVE-2021-22555	Netfilter 中的堆溢出漏洞	基于堆的溢出攻击	Linux
CVE-2025-6218	WinRAR 目录遍历漏洞	归档文件路径操纵	Windows

 

这份汇总信息表明，旧漏洞与新漏洞会同时被攻击者利用，这凸显了 “及时打补丁” 和 “全面纵深防御策略” 的重要性。 企业应优先为用户应用程序和系统组件安装更新，以降低这些常见漏洞在实际攻击中被利用的风险。

关键术语补充说明

1. 远程代码执行（RCE，Remote Code Execution）：指攻击者通过漏洞在远程目标设备上执行任意代码的能力，是危害极高的漏洞类型，可能导致设备完全被控制。
2. 权限提升（Privilege Escalation）：攻击者通过漏洞或技术手段，将自身在系统中的操作权限从低级别（如普通用户）提升至高级别（如管理员、root）的行为。
3. NetNTLM 哈希值：Windows 系统中用于认证的凭据哈希，攻击者窃取后可通过 “哈希传递” 等技术冒充合法用户登录系统，无需获取明文密码。
4. 内核空间（Kernel Space）：操作系统内核运行的内存区域，具有最高系统权限，恶意代码若加载到内核空间，可绕过大部分用户级安全防护。
5. 目录遍历（Directory Traversal）：一种文件路径操纵漏洞，攻击者可通过构造特殊路径，访问预期目录之外的文件或目录，可能导致敏感信息泄露或恶意文件植入。