2024-09-23 17:00:30
ESET a divulgué une vulnérabilité d’exécution de code à distance dans WPS Office pour Windows (CVE-2024-7262), exploitée par le groupe APT-C-60 aligné sur la Corée du Sud pour cibler les pays d’Asie de l’Est. En examinant les causes, les chercheurs d’ESET ont également découvert une autre façon d’exploiter le code défectueux (CVE-2024-7263). Après un processus de divulgation coordonné, les deux vulnérabilités ont été correct. La charge utile finale de l’attaque APT-C-60 est une porte dérobée personnalisée avec la capacité de espionnage ordinateur qu’ESET Research a appelé en interne SpyGlace.
Capable de toucher des millions de personnes
Romain Dumont, chercheur ESET
En enquêtant sur les activités de l’APT-C-60, nous avons trouvé un tableur inhabituel qui faisait référence à l’un des nombreux membres téléchargeurs du groupe. Le logiciel WPS Office compte plus de 500 millions d’utilisateurs actifs dans le monde. Cela en fait un bon moyen d’atteindre un nombre important de personnes, en particulier dans la région de l’Asie de l’Est. Au cours du processus de divulgation des vulnérabilités coordonné entre ESET et le fournisseur, DBAPPSecurity a publié indépendamment une analyse de vulnérabilité « militarisée ». Et il a confirmé que l’APT-C-60 avait exploité cette vulnérabilité pour distribuer des logiciels malveillants aux utilisateurs en Chine.
A quoi ça ressemble
Le document malveillant se présente comme une exportation MHTML du format XLS couramment utilisé. Il contient cependant un lien hypertexte caché et spécialement conçu, conçu pour déclencher l’exécution d’une bibliothèque non autorisée si vous cliquez dessus lors de l’utilisation de l’application WPS Spreadsheet. Le format de fichier MHTML non conventionnel permet de télécharger un fichier dès l’ouverture du document. Ainsi, adopter cette technique tout en exploitant la vulnérabilité permet auexécution de code à distance.
Vulnérabilité dans WPS Office
Romain Dumont
Pour exploiter cette vulnérabilité, un attaquant devrait magasin une bibliothèque malveillante quelque part accessible par l’ordinateur cible, soit sur le système, soit sur un partage distant, et connaissez le chemin du fichier à l’avance. Les développeurs d’exploits qui ont exploité cette vulnérabilité connaissaient quelques astuces qui les ont aidés à atteindre leur objectif. Lorsque vous ouvrez le tableur avec l’application WPS Spreadsheet, la bibliothèque distante apparaît automatiquement téléchargé et stocké sur disque.
Une feuille de calcul « normale »
Puisqu’il s’agit d’une vulnérabilité en un clic, les développeurs de l’exploit ont intégré une image des lignes et des colonnes de la feuille de calcul. Il s’agit de convaincre l’utilisateur que le document est une feuille de calcul normale. Le lien hypertexte malveillant était attaché à l’image de telle manière que cliquer sur une cellule activerait l’exploit.
Romain Dumont
Que le groupe ait développé ou acheté l’exploit pour CVE-2024-7262, il s’agissait certainement nécessaire une recherche sur les internes de l’application. Mais aussi une compréhension du comportement du processus de chargement de Windows.
Mettez toujours à jour votre logiciel, la vulnérabilité dans WPS Office
Après avoir analysé le patch discrètement publié par Kingsoft, Dumont a remarqué que le tomber n’avait pas été correctement corrigé. Il a également découvert une autre façon de l’exploiter en raison d’une mauvaise validation des entrées. ESET Research a signalé les deux vulnérabilités à Kingsoft, qui les a reconnues et corrigées. Deux entrées CVE de gravité élevée ont été créées : CVE-2024-7262 et CVE-2024-7263. La découverte souligne l’importance d’un processus minutieux de tests de correctifs et la nécessité de garantir que le problème sous-jacent a été entièrement résolu. ESET recommande fortement aux utilisateurs de WPS Office pour Windows de mettre à jour leur logiciel vers la dernière version.
#vulnérabilité #bureau #WPS #affectera #les #pays #asiatiques
1727139130
