A WPS Office-t érintő két tetszőleges kódfuttatási sérülékenység elemzése
Az ESET kutatói kódfuttatási sérülékenységet fedeztek fel a WPS Office for Windows-ban (CVE-2024-7262), amit az APT-C-60, egy Dél-Koreával szövetséges kiberkémkedési csoport kihasznált. A kiváltó ok elemzését követően később felfedeztek egy másik módot a hibás kód kihasználására (CVE-2924-7263). Az ESET a blogbejegyzésében ismerteti a technikai részleteket. Az ESET kutatói az APT-C-60 tevékenységének vizsgálata során találtak egy furcsa táblázatos dokumentumot, amely a csoport egyik számos letöltő komponensére hivatkozott. A végső hasznos teher egy egyedi backdoor, amelyet belsőleg SpyGlace-nek neveztek el, és amelyet a ThreatBook nyilvánosan TaskControler.dll néven dokumentált.
A WPS honlapja szerint ennek a szoftvernek világszerte több mint 500 millió aktív felhasználója van, ami jó célpontot jelent a kelet-ázsiai régió jelentős számú egyének elérésére. A sérülékenységek összehangolt nyilvánosságra hozatala során a DBAPPSecurity függetlenül közzétette a hibák elemzését, és megerősítette, hogy az APT-C-60 kihasználta a sérülékenységet, hogy rosszindulatú szoftvereket juttasson el a kínai felhasználókhoz. A rosszindulatú dokumentum (SHA-1: 7509B4C506C01627C1A4C396161D07277F044AC6) az általánosan használt XLS táblázatkezelő formátum MHTML exportjaként érkezik. Azonban tartalmaz egy speciálisan kialakított és rejtett hiperhivatkozást, amely a WPS Spreadsheet alkalmazás használatakor egy tetszőleges könyvtár futtatásának kiváltására szolgál, ha rákattintanak. A meglehetősen szokatlan MHTML fájlformátum lehetővé teszi a fájl letöltését, amint a dokumentumot megnyitják; ezért ennek a technikának a kihasználása a sérülékenység kihasználása során távoli kódfuttatást biztosít.
