Los equipos de ciberseguridad en todo el mundo han observado un aumento en las sofisticadas campañas que explotan las vulnerabilidades de Windows y Linux en los últimos meses para lograr el acceso no autorizado del sistema.
Estos ataques a menudo comienzan con correos electrónicos de phishing o contenido web malicioso diseñado para entregar documentos armados. Una vez abierto, las exploits integradas se dirigen a las vulnerabilidades sin parpadear en los componentes de software de uso común, lo que permite a los atacantes ejecutar código arbitrario en máquinas de víctimas.
A medida que las organizaciones luchan por mantener el ritmo de la gestión de parches, los actores de amenaza han intensificado su enfoque en defectos de alto impacto que permanecen sin abordar en muchos entornos.
Investigadores de seguridad identificado Que varias vulnerabilidades de larga data en el editor de ecuaciones de Microsoft Office sigan siendo un vector de acceso inicial favorito.
CVE-2018-0802 y CVE-2017-11882, ambas fallas de ejecución de código remoto en el componente del editor de ecuaciones, siguen siendo muy explotados a pesar de que los parches están disponibles durante años.
Además, CVE-2017-0199, una falla que afecta a Office y WordPad, proporciona otra ruta para la entrega de carga útil.
Estas exploits de oficina a menudo se combinan con las vulnerabilidades más recientes del explorador de archivos de Windows y las vulnerabilidades del controlador, como CVE-2025-24071, que permite al robo de credencial de NetNTLM a través de archivos .library-MS y CVE-2024-35250, un problema de ejecución de código de controlador Ksys, establecer un plano de fondos y privilegios de escalas.
Más allá de la oficina de Microsoft, los atacantes también han aprovechado las debilidades de manejo de archivos de Winrar. CVE-2023-38831 y el directorio Traversal Flaw CVE-2025-6218 permiten a los adversarios colocar archivos maliciosos fuera de la ruta de extracción prevista, configuraciones del sistema de secuestro o lanzar traseros de persistencia.
En el lado de Linux, la vulnerabilidad de la tubería sucia (CVE-2022-0847) sigue siendo un favorito crítico para la escalada de privilegios, mientras que CVE-2019-13272 y CVE-2021-22555 continúan utilizándose para obtener acceso a la raíz en los servidores no parpadeados.
Mecanismo de infección
Un mecanismo de infección particularmente insidioso combina la entrega basada en la oficina con la explotación secundaria de los impulsores del sistema. Los analistas de SecureList notaron que los atacantes crean documentos RTF que contienen ShellCode que invoca al editor de ecuaciones a través de objetos OLE.
Una vez que la vulnerabilidad se desencadena, Shellcode descarga una carga útil de dos etapas: un pequeño cargador y un binario de malware con todas las funciones.
El cargador aprovecha CVE-2025-24071 para cosechar los hash Netntlm de las conexiones SMB entrantes, reenviándolos a un servidor C2.
La carga útil completa luego explota CVE-2024-35250 para cargar un conductor malicioso en el espacio del núcleo, otorgando a los atacantes la ejecución del código sin restricciones.
Esta cadena de doble explotación permite a los adversarios omitir las defensas a nivel de usuario e implementar RootKits sin ser detectados.
Carga útil publicada en línea (fuente – Securelist)
En muchos incidentes, una vez que se logra el control a nivel de núcleo, los atacantes instalan marcos C2 personalizados, como Sliver o Havoc, para mantener la persistencia.
Estos implantes incluyen protección en memoria para evadir los escaneos antivirus y usar servicios legítimos de Windows para combinarse con procesos normales.
Al encadenar las hazañas conocidas públicamente, los actores pueden pasar rápidamente del compromiso inicial al control del sistema completo sin escribir archivos sospechosos al disco.
Detalles de vulnerabilidad:-
CVEDESCONTRITOREXPLOIT TYPEAFECTIVE PlatformCVE-2018-0802RCE en la ecuación de la oficina EditorEmbedDed OLE ExploitWindowsCve-2017-11882rce In Office Ecation EditoremberedDed Ole ExploitWindowsCve-2017-0199 Control Takingover a través de Office y WordScript Based Document ExploitWindowsCVE-2023-38831improper Manejo de archivos en el código Winrararchive ExploitWindowsCVE-2022-0847Dirty Pipe Privilege EscalationPipe Buffer OverwriteLinuxCVE-2019-13272ImpropeProper Privilege HandlingPrivilege EscalationlinuxCVE-2021-225555hap Overflow en NetFilterHeap Based FLOWLINUXCVE-2025-6218218 Winrarchive Rath ManipulationWindows
Esta visión consolidada resalta la persistencia de las vulnerabilidades más antiguas junto con fallas más nuevas, subrayando la necesidad crítica de un parcheo oportuno y estrategias integrales de defensa en profundidad.
Las organizaciones deben priorizar actualizaciones tanto para las aplicaciones de los usuarios como para los componentes del sistema para mitigar el riesgo de estas exploits prevalentes en ataques del mundo real.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
