360漏洞挖掘智能体发现Windows内核及Office远程代码执行高危漏洞的技术分析
近期,360集团自主研发的漏洞挖掘智能体成功识别出两项潜伏多年的高危安全漏洞:一项是影响Windows操作系统的内核提权漏洞,已被分配CVE编号为CVE-2026-24293;另一项是影响Microsoft Office套件的远程代码执行漏洞。这两项发现均已上报国家漏洞库并获得微软安全响应中心(MSRC)的致谢,标志着我国在利用智能体技术规模化发现基础软件核心漏洞方面取得了显著进展。这些漏洞影响全球超过10亿Windows及Office用户,对个人终端、政企办公系统乃至关键基础设施环境构成严重安全风险。传统人工审计或基于特征的检测方法长期未能有效识别这些隐蔽且复杂的缺陷,而360漏洞挖掘智能体则展示了其在自动化深度分析和快速定位高价值漏洞方面的卓越能力。
Windows内核提权漏洞(CVE-2026-24293)分析
漏洞概览与发现机制
此次由360漏洞挖掘智能体发现的Windows内核提权漏洞(CVE-2026-24293)已潜伏近5年,属于高危系统级漏洞。成功利用此漏洞,攻击者可将低权限用户提升至SYSTEM最高权限,进而完全控制受感染系统,进行数据窃取、部署恶意软件或造成系统瘫痪。其危害程度极高,尤其是在关键基础设施环境中,可能引发连锁反应。
360漏洞挖掘智能体的核心优势在于其自动化、体系化的漏洞发现能力。该智能体基于360近二十年网络安全攻防实战经验及全球顶尖安全专家的知识沉淀构建。它运用了多类专项智能体协同分析技术,其中包括对二进制程序进行基于硬件的路径探测和基于硬件虚拟化的错误检测机制。这种方法能够捕获程序执行过程中触发的异常行为和内存访问日志,从而高效识别出传统人工审计难以发现的深层漏洞。例如,借鉴类似Digtool等自动化挖掘系统的思路,智能体能够对Windows内核驱动程序进行黑盒测试,无需源代码即可发现诸如内存损坏、竞态条件等复杂漏洞类型。在攻击面管理和暴露服务发现方面,Zondex 这样的平台可以在漏洞被利用前帮助组织识别潜在的脆弱点,减少攻击面。
技术细节:常见内核提权漏洞类型
尽管CVE-2026-24293的具体技术细节尚未完全公开,但结合典型的Windows内核提权漏洞,我们可以推断其可能涉及以下几种常见缺陷类型:
- 内存损坏(Memory Corruption): 这是内核漏洞中最常见的类型,包括:
- Use-After-Free (UAF): 当程序在释放内存后,再次尝试使用该内存区域时发生。攻击者可以操纵内存布局,在释放的内存被重新分配后写入恶意数据,从而实现代码执行。
- Type Confusion: 当程序在一个对象被分配为一种类型后,却以另一种不兼容的类型访问它时,可能导致对内存的错误解释和操作,引发任意读写。
- Out-of-Bounds Read/Write: 程序尝试读写其分配内存边界之外的数据。这可能导致敏感信息泄露或覆盖关键数据结构,从而实现权限提升。
- 竞态条件(Race Condition): 当多个线程或进程并发访问共享资源,且其执行顺序受到不可预测的时间因素影响时,可能导致非预期的行为。攻击者可以通过精心构造的并发操作,在特定时序窗口内利用这种不确定性来触发漏洞,如双重释放(double-free)等。例如,CVE-2024-21310,Windows Cloud Files Mini Filter Driver中的特权提升漏洞,就涉及到对用户输入数据验证不足导致的整数溢出,进而可能在分配缓冲区前引发问题,允许攻击者以内核上下文执行任意代码。
一个概念性的内核UAF漏洞利用片段可能如下所示,其中攻击者利用释放后的对象指针来调用伪造的虚函数表:
// 假设存在一个已释放但未清空的内核对象
struct LeakedObject {
void* vtable;
// ... 其他数据 ...
};
// 攻击者构造的伪造对象
struct FakeObject {
void* fake_vtable;
// ... 攻击者控制的数据 ...
};
// 伪造的虚函数表,指向shellcode
void* fake_vtable[] = {
(void*)shellcode_address,
// ... 其他伪造函数指针 ...
};
// ... 在内核中触发UAF,使得LeakedObject的内存被FakeObject占据 ...
// 当系统再次通过已失效的指针调用虚函数时,将执行攻击者的shellcode
潜在影响与防御
此类内核提权漏洞一旦被利用,将对系统的机密性、完整性和可用性造成严重影响。攻击者可以绕过现有的安全防护,安装rootkit,窃取凭据,甚至完全破坏系统。因此,微软已针对CVE-2026-24293发布了相应的安全更新。组织和个人应立即应用这些补丁,并遵循最小权限原则,限制非必要的用户权限。同时,持续的安全审计和漏洞扫描,如通过Secably进行定期的系统漏洞评估,对于发现和弥补安全短板至关重要。
Office远程代码执行高危漏洞分析(以CVE-2023-21716为例)
漏洞概览与发现机制
360漏洞挖掘智能体还发现了一项潜伏长达8年的Office远程代码执行漏洞,其危险等级被评定为Critical。该漏洞广泛影响使用Microsoft Office办公软件的终端环境,用户在打开Word、PPT等常见文档时即可能面临远程控制的风险。值得注意的是,该漏洞长期以来未能被传统检测方式有效识别,而360智能体在自动化分析过程中实现了分钟级快速定位。
此处我们以Microsoft Word远程代码执行漏洞CVE-2023-21716为例,来深入探讨此类Office RCE漏洞的技术特性及其发现方式。CVE-2023-21716是一个在Microsoft Word及其相关Office产品中存在的关键远程代码执行漏洞,CVSS评分为9.8。该漏洞允许未经身份验证的攻击者通过特制文档在目标系统上执行任意代码。在某些情况下,仅通过预览恶意文件即可触发漏洞,无需用户交互,这进一步增加了其威胁性。
技术细节:CVE-2023-21716分析
CVE-2023-21716的缺陷源于Microsoft Word的RTF(Rich Text Format)解析器组件中的一个整数溢出弱点(CWE-190)。当RTF文件中的字体表包含过多的字体时,会触发堆损坏(Heap Corruption)。攻击者可以制作一个包含大量字体条目的恶意RTF文件。当Microsoft Word尝试解析该文件时,由于整数溢出,内存分配或处理逻辑可能出错,导致堆区域被破坏。通过精心构造堆布局,攻击者可以将这种堆损坏转化为任意代码执行的能力,从而在受害者的权限下执行恶意代码。
一个简化的恶意RTF文件结构概念示例如下,其中包含一个过大的\fonttbl部分来触发整数溢出:
{\rtf1\ansi\deff0
{\fonttbl
{\f0\fswiss\fcharset0 Arial;}
{\f1\fswiss\fcharset0 Times New Roman;}
// ... 大量重复的字体定义,直至触发整数溢出 ...
{\f99999\fswiss\fcharset0 MaliciousFont;}
}
// ... 后续的恶意控制数据或触发代码 ...
}
攻击者通常通过钓鱼邮件将此类恶意文档发送给目标用户,或者将其托管在恶意网站上。一旦用户打开或在预览窗格中查看此文档,漏洞即被触发,攻击者即可远程控制受害者系统。尽管Microsoft Office 2010及更高版本引入了“受保护的视图”(Protected View)功能,可以在一定程度上限制恶意文档的危害,但攻击者仍可能结合沙箱逃逸漏洞来绕过此防护。
利用链与防御
针对Office RCE漏洞的利用链通常涉及社会工程学手段,诱骗用户打开恶意文件。攻击者可能利用GProxy等代理工具,匿名地托管恶意文档或发起钓鱼攻击,以隐藏其真实身份和位置。成功利用后,攻击者可执行任意代码,例如下载并执行额外的恶意载荷,窃取敏感信息,或将系统纳入僵尸网络。
防范此类漏洞的关键在于:
- 及时应用安全更新: 微软已针对CVE-2023-21716发布补丁,所有用户应立即更新其Office软件。
- 禁用不必要的组件: 如果业务允许,可以考虑禁用RTF文件解析等不常用功能,以减少攻击面。
- 强化用户安全意识: 警惕来自未知来源的邮件附件和链接,避免打开可疑文档。
- 启用并配置安全功能: 确保Microsoft Office的“受保护的视图”功能处于启用状态,并配置相关安全策略。
智能体漏洞挖掘技术展望
360漏洞挖掘智能体在发现Windows内核及Office远程代码执行高危漏洞方面的成功,充分展示了AI技术在网络安全攻防领域中的巨大潜力。与传统人工审计数月至数年的周期相比,智能体技术能够将部分高价值漏洞的定位过程压缩至分钟级。这对于应对日益复杂的网络威胁和层出不穷的零日漏洞至关重要。
随着大型语言模型(LLM)和AI Agent技术的不断发展,未来的漏洞挖掘将更加智能化、自动化。智能体不仅能够进行环境感知、自主决策、任务执行,还能通过高效的代码分析能力和特有的特征库,对目标系统进行更深层次的漏洞挖掘和利用链构建。据360披露,其智能体体系已累计挖掘近千个漏洞,其中超过50项高危漏洞属于全球首次公开发现。这种智能化的安全研究能力,将有助于改变目前“人与机器不对称对抗”的攻防态势,为企业和个人提供更强大的主动防御能力。