- 与韩国结盟的高级持续性威胁组织 APT-C-60 将 WPS Office for Windows 中的远程代码执行漏洞 (CVE-2024-7262) 武器化,以东亚国家为目标。ESET Research 发现了该漏洞,并提供了根本原因分析,并描述了其武器化。
- 一个奇怪的电子表格文档引用了该小组的众多下载器组件之一,指向 APT-C-60。
- 该漏洞具有足够的欺骗性,可以诱骗用户点击看起来合法的电子表格,同时也非常有效和可靠。MHTML 文件格式的选择使攻击者能够将代码执行漏洞转化为远程漏洞。
- 在分析漏洞时,ESET Research 发现了另一种利用该漏洞的方法 (CVE-2024-7263)。
- 根据我们的协调漏洞披露政策,随着金山软件承认并修补了这两个漏洞,我们会提供详细的分析。
蒙特利尔布拉迪斯拉发 — 2024 年 8 月 28 日 — ESET 研究人员在 WPS Office for Windows 中发现了一个远程代码执行漏洞 (CVE-2024-7262)。它被与韩国结盟的网络间谍组织 APT-C-60 用于瞄准东亚国家。在检查根本原因时,ESET 发现了另一种利用错误代码的方法 (CVE-2924-7263)。经过协调的披露流程,这两个漏洞现在都已修补。APT-C-60 攻击中的最后一个有效载荷是一个具有网络间谍功能的自定义后门,ESET Research 在内部将其命名为 SpyGlace。
“在调查 APT-C-60 活动时,我们发现了一个奇怪的电子表格文档,其中引用了该组织的众多下载器组件之一。WPS Office 软件在全球拥有超过 5 亿活跃用户,这使其成为覆盖大量个人的良好目标,尤其是在东亚地区,“分析漏洞的 ESET 研究员 Romain Dumont 说。在 ESET 和供应商之间的协调漏洞披露过程中,DBAPPSecurity 独立发布了对武器化漏洞的分析,并确认 APT-C-60 已利用该漏洞向中国用户提供恶意软件。
恶意文档是常用 XLS 电子表格格式的 MHTML 导出。但是,它包含一个特制的隐藏超链接,如果在使用 WPS 电子表格应用程序时单击该超链接,则会触发任意库的执行。相当非常规的 MHTML 文件格式允许在打开文档后立即下载文件;因此,在利用漏洞的同时利用此技术可提供远程代码执行。
“要利用此漏洞,攻击者需要将恶意库存储在目标计算机可访问的位置,无论是在系统还是远程共享上,并提前知道其文件路径。针对此漏洞的漏洞利用开发人员知道一些帮助他们实现这一目标的技巧,“Dumont 解释道。“当使用 WPS Spreadsheet 应用程序打开电子表格文档时,远程库会自动下载并存储在磁盘上,”他补充道。
由于这是一个一键式漏洞,漏洞利用开发人员在其中嵌入了电子表格行和列的图片,以欺骗并说服用户该文档是常规电子表格。恶意超链接链接到图像,因此单击图片中的单元格会触发漏洞利用。
“无论该团队是开发还是购买了 CVE-2024-7262 漏洞,它肯定需要对应用程序的内部进行一些研究,但也需要了解 Windows 加载过程的行为方式,”Dumont 总结道。
在分析了 Kingsoft 的静默发布的补丁后,Dumont 注意到它没有正确纠正该漏洞,并发现了另一种由于输入验证不当而利用该漏洞的方法。ESET Research 向 Kingsoft 报告了这两个漏洞,Kingsoft 承认并修补了这些漏洞。创建了两个高严重性 CVE 条目:CVE-2024-7262 和 CVE-2024-7263。
这一发现强调了仔细的补丁验证过程并确保核心问题已得到充分解决的重要性。ESET 强烈建议 WPS Office for Windows 用户将其软件更新到最新版本。
漏洞利用的控制流程概述
发表于 2024-9-19 22:38:11
