据网络安全公司ESET发布的分析报告,金山办公旗下的知名办公软件WPSOffice近期出现两个高危安全漏洞,漏洞编号分别是CVE-2024-7262和CVE-2024-7263,漏洞评分均为9.3分/10分(10分指的是满分)。
攻击者借助漏洞可以发起远程代码执行(RCE),并且ESET已经注意到这些安全漏洞已经遭到武器化,有攻击者正在制作可以触发漏洞的特制电子表格进行钓鱼。
漏洞技术分析:
这些漏洞位于WPSOffice的promecefoluginhost.exe组件中,具体来说CVE-2024-7262漏洞出现在WPSOffice12.2.0.13110~12.2.0.13489版中;CVE-2024-7263则影响12.2.0.13110~12.2.0.17153版中。
漏洞均源自于不正确的路径验证,攻击者借助漏洞可以加载和执行任意Windows库,这也是漏洞可以被发起远程代码执行攻击的原因。
要想利用漏洞攻击者首先需要制作包含恶意代码的电子表格,随后将该电子表格通过电子邮件、下载网站或其他途径发送给目标用户并诱导其打开,接着攻击者即可远程执行任意代码包括控制目标设备窃取各种敏感信息。
版本更新:
为了解决CVE-2024-7262漏洞,金山办公发布12.2.0.16909版进行修复,但研究人员很快发现金山办公修复的不够彻底,CVE-2024-7262影响到12.2.0.17153(不包括此版本)以下版本,其利用原始修复中忽略的未正确清理的额外参数,该疏忽导致攻击者仍然可以再次加载Windows库从而绕过金山办公的安全措施。
在接到研究人员反馈后金山办公又发布12.2.0.17153版进行修复,因此所有用户都应该检查并升级到最新版本确保漏洞已经彻底修复。
值得注意的是目前有未经证实的消息称该问题仅影响WPSOffice国际版,对于WPS中国版则不受影响,但该消息无法确定,因此建议无论中国版还是国际版用户都立即升级到最新版确保安全。
最后也提醒各位尤其是企业用户,在收到电子邮件声称报价单、票据等内容时一定要仔细检查发件人及附件,不要轻易直接打开以免里面包含恶意代码发起攻击。