一、经典第三方软件安全漏洞及复现1. 微信 Windows 版核心漏洞远程代码执行RCE漏洞2023 年、2025 年多次被曝光黑客可实现无感执行恶意代码漏洞利用方式攻击者可通过构造恶意聊天文件利用聊天文件自动下载机制在用户无感知情况下执行代码也可通过特定手段让用户触发恶意代码执行影响范围2025 年曝光的漏洞主要影响微信 Windows 客户端 3.9 及以下版本。2. WPS Office核心漏洞远程命令执行RCE漏洞漏洞利用方式攻击者构造恶意文档用户打开并执行相应操作后文档会联网从远程服务器下载恶意代码到指定目录并执行前提是当前用户对该目录有写权限攻击者进而控制电脑防御方式直接升级至 WPS 官方最新版本即可抵御该漏洞。3. 向日葵远程控制漏洞影响版本个人版 for Windows ≤ 11.0.0.33、简约版 ≤ V1.0.1.433152021.12端口特征向日葵运行时会自动随机开启一个40000-65535 之间的端口端口扫描使用 nmap 工具扫描目标服务器对应端口范围命令nmap -p 40000-65535 目标IP漏洞利用通过 cmd 命令行启动专用工具命令java -jar Sunlogin漏洞利用工具.jar输入目标地址IP 开放端口后可执行系统命令甚至能获取nt authority\system最高权限。二、攻击者视角第三方软件漏洞的利用流程木马投放制作针对第三方软件漏洞的木马病毒借助软件漏洞将木马植入目标主机触发漏洞并启动木马程序通过木马远程控制目标靶机。三、第三方应用程序安全排查方法1. 进程排查图形化工具打开任务管理器查看第三方软件进程的 CPU、内存、GPU 占用率排查异常进程如微信、WPS、向日葵的可疑进程命令行工具在 cmd 中执行tasklist列出所有运行进程核对第三方软件进程的合法性。2. 网络连接排查核心命令netstat -ano查看第三方软件的网络连接状态、端口占用、关联进程 ID重点排查可疑外联 IP 和非官方端口情报分析将可疑 IP 放入微步情报分析平台https://x.threatbook.com/进行分析确认是否为恶意 IP。3. 启动项 / 计划任务 / 服务排查检查第三方软件是否被恶意设置为开机启动项是否存在利用计划任务定时启动的可疑配置执行net start命令查看是否有第三方软件衍生的可疑系统服务。4. 专用工具排查PCHunter全面检测第三方软件的进程、驱动模块、注册表项、启动信息等排查是否被植入恶意插件或篡改配置userassistview检查第三方软件的程序执行记录追溯是否有可疑的操作行为。5. 系统日志排查通过计算机管理 - 事件查看器查看应用程序日志、安全性日志中第三方软件的相关操作记录结合事件 ID参考https://www.cnblogs.com/zhaolongisme/p/17546870.html排查异常行为。四、第三方应用程序安全防御手段版本升级及时将微信、WPS、向日葵等第三方软件升级至官方最新版本修复已知漏洞定期排查通过上述排查方法定期对第三方软件的进程、网络、启动项等进行全面检查发现可疑项及时处理启用系统防护开启 Windows Defender 的实时保护和防火墙阻止第三方软件的未授权网络访问和恶意进程执行提高安全意识不随意打开第三方软件中的陌生聊天文件、未知来源文档不轻易允许第三方软件的高权限操作请求。
Windows问题防护排查
一、经典第三方软件安全漏洞及复现1. 微信 Windows 版核心漏洞远程代码执行RCE漏洞2023 年、2025 年多次被曝光黑客可实现无感执行恶意代码漏洞利用方式攻击者可通过构造恶意聊天文件利用聊天文件自动下载机制在用户无感知情况下执行代码也可通过特定手段让用户触发恶意代码执行影响范围2025 年曝光的漏洞主要影响微信 Windows 客户端 3.9 及以下版本。2. WPS Office核心漏洞远程命令执行RCE漏洞漏洞利用方式攻击者构造恶意文档用户打开并执行相应操作后文档会联网从远程服务器下载恶意代码到指定目录并执行前提是当前用户对该目录有写权限攻击者进而控制电脑防御方式直接升级至 WPS 官方最新版本即可抵御该漏洞。3. 向日葵远程控制漏洞影响版本个人版 for Windows ≤ 11.0.0.33、简约版 ≤ V1.0.1.433152021.12端口特征向日葵运行时会自动随机开启一个40000-65535 之间的端口端口扫描使用 nmap 工具扫描目标服务器对应端口范围命令nmap -p 40000-65535 目标IP漏洞利用通过 cmd 命令行启动专用工具命令java -jar Sunlogin漏洞利用工具.jar输入目标地址IP 开放端口后可执行系统命令甚至能获取nt authority\system最高权限。二、攻击者视角第三方软件漏洞的利用流程木马投放制作针对第三方软件漏洞的木马病毒借助软件漏洞将木马植入目标主机触发漏洞并启动木马程序通过木马远程控制目标靶机。三、第三方应用程序安全排查方法1. 进程排查图形化工具打开任务管理器查看第三方软件进程的 CPU、内存、GPU 占用率排查异常进程如微信、WPS、向日葵的可疑进程命令行工具在 cmd 中执行tasklist列出所有运行进程核对第三方软件进程的合法性。2. 网络连接排查核心命令netstat -ano查看第三方软件的网络连接状态、端口占用、关联进程 ID重点排查可疑外联 IP 和非官方端口情报分析将可疑 IP 放入微步情报分析平台https://x.threatbook.com/进行分析确认是否为恶意 IP。3. 启动项 / 计划任务 / 服务排查检查第三方软件是否被恶意设置为开机启动项是否存在利用计划任务定时启动的可疑配置执行net start命令查看是否有第三方软件衍生的可疑系统服务。4. 专用工具排查PCHunter全面检测第三方软件的进程、驱动模块、注册表项、启动信息等排查是否被植入恶意插件或篡改配置userassistview检查第三方软件的程序执行记录追溯是否有可疑的操作行为。5. 系统日志排查通过计算机管理 - 事件查看器查看应用程序日志、安全性日志中第三方软件的相关操作记录结合事件 ID参考https://www.cnblogs.com/zhaolongisme/p/17546870.html排查异常行为。四、第三方应用程序安全防御手段版本升级及时将微信、WPS、向日葵等第三方软件升级至官方最新版本修复已知漏洞定期排查通过上述排查方法定期对第三方软件的进程、网络、启动项等进行全面检查发现可疑项及时处理启用系统防护开启 Windows Defender 的实时保护和防火墙阻止第三方软件的未授权网络访问和恶意进程执行提高安全意识不随意打开第三方软件中的陌生聊天文件、未知来源文档不轻易允许第三方软件的高权限操作请求。
