Связанная с Южной Кореей кибершпионская группировка APT-C-60 использовала уязвимость выполнения кода нулевого дня в версии WPS Office для Windows для установки бэкдора SpyGlace на объекты в Восточной Азии.
WPS Office — это пакет офисных приложений, разработанный китайской фирмой Kingsoft, который популярен в Азии. По имеющимся данным, у него более 500 миллионов активных пользователей по всему миру.
Уязвимость нулевого дня, обозначенная как CVE-2024-7262, использовалась в атаках по крайней мере с конца февраля 2024 года, но затрагивает версии с 12.2.0.13110 (август 2023 года) по 12.1.0.16412 (март 2024 года).
Компания Kingsoft «молча» исправила проблему в марте этого года, не сообщив клиентам, что уязвимость активно эксплуатировалась, что побудило компанию ESET, обнаружившую кампанию и уязвимость, опубликовать сегодня подробный отчет.
Помимо CVE-2024-7262, расследование ESET выявило вторую серьезную уязвимость, обозначенную как CVE-2024-7263, которую Kingsoft исправила в конце мая 2024 года в версии 12.2.0.17119.
Эксплуатация APT-C-60
Уязвимость CVE-2024-7262 заключается в том, как программное обеспечение обрабатывает пользовательские обработчики протоколов, в частности «ksoqing://», который позволяет выполнять внешние приложения через специально созданные URL-адреса в документах.
Из-за неправильной проверки и очистки этих URL-адресов уязвимость позволяет злоумышленникам создавать вредоносные гиперссылки, которые приводят к выполнению произвольного кода.
Плохая заплатка оставляет пробел
В ходе расследования атак APT-C-60 исследователи ESET обнаружили уязвимость CVE-2024-7263, вторую уязвимость произвольного выполнения кода, влияющую на WPS Office, которая появилась как неполное исправление CVE-2024-7262.
В частности, первоначальная попытка Kingsoft решить проблему добавила проверку определенных параметров. Однако некоторые из них, например, «CefPluginPathU8», все еще не были достаточно защищены, что позволило злоумышленникам снова указать пути вредоносных DLL через promecefpluginhost.exe.
ESET поясняет, что данную уязвимость можно эксплуатировать локально или через сетевой ресурс, где может размещаться вредоносная DLL-библиотека.
Пользователям WPS Office рекомендуется как можно скорее перейти на последнюю версию или, по крайней мере, на версию 12.2.0.17119, чтобы устранить обе ошибки выполнения кода.