早前报道称金山软件的WPSOffice出现高危安全漏洞并且已经有黑客集团将漏洞武器化进行利用,WPS官方称受影响的只有WPS2023国际版,其他版本并未受影响。当然金山软件还是和之前相同,对于安全漏洞虽然会进行修复但始终不愿意发布完整的安全公告提醒用户提防攻击,例如在此次漏洞中金山软件就没有透露漏洞已经被积极利用。
这促使发现漏洞的网络安全公司ESET又发布新的详细报告提醒用户和企业立即升级到最新版本并提防来自韩国的黑客团伙发起的攻击。
漏洞的大致时间线:
发现漏洞的是网络安全公司ESET,该公司发现漏洞1(CVE-2024-7262)至少从2024年2月份开始就已经遭到黑客的利用,因此属于零日漏洞的范畴。
ESET尽责向金山软件通报漏洞,后者于2024年3月发布新版本悄悄修复漏洞,但没有发布公告提醒这枚漏洞已经遭到积极利用。
随后ESET又发现金山软件的修复不够彻底仍然存在漏洞,漏洞2(CVE-2024-7263)通报给金山软件后,后者在2024年5月完成漏洞修复。
实际受影响的版本为WPS12.2.0.13110(发布于2023年8月)~12.2.0.17119(发布于2024年5月),也就是说用户至少应当升级到2024年5月之后发布的新版本。
韩国黑客团伙APT-C-60正在积极利用漏洞:
尽管漏洞已经得到修复但肯定还有用户和企业因为各种原因没有升级到最新版本,这导致漏洞仍然可被利用,于是韩国黑客团伙APT-C-60开始积极利用此漏洞。
其中CVE-2024-7262漏洞属于WPS自定义协议处理程序中,即ksoqing://这类用来快速打开WPS的协议,由于验证和清理不当,黑客可以制作触发任意代码执行(RCE)的恶意超链接。
在实际攻击案例中APT-C-60创建MHTML文件并在文件内添加诱饵图像和恶意超链接,例如使用图片制作的点击加载文档,当用户真点击图片其实触发的是恶意超链接。
恶意超链接被点击后会触发漏洞,随后APT-C-60通过base64编码的命令执行特定插件(promecefpluginhost.exe),这是个后门程序,被ESET命名为SpyGlace。
ESET也提醒称这种攻击方式非常狡猾,因为有足够的欺骗性,可以诱骗用户点击看似没问题的文件从而触发漏洞,对用户尤其是企业用户来说谨慎打开电子邮件或其他从网上下载的文件一直是个重要安全习惯。
相关文章: