Pietų Korėjos įsilaužėliai išnaudojo WPS Office nulinę dieną, kad įdiegtų kenkėjiškas programas


Su Pietų Korėja susijusi kibernetinio šnipinėjimo grupė APT-C-60 panaudojo nulinės dienos kodo vykdymo pažeidžiamumą WPS Office Windows versijoje, kad įdiegtų SpyGlace užpakalines duris Rytų Azijos taikiniams.

„WPS Office“ yra Kinijos firmos „Kingsoft“ sukurtas produktyvumo rinkinys, populiarus Azijoje. Pranešama, kad ji turi daugiau nei 500 milijonų aktyvių vartotojų visame pasaulyje.

Nulinės dienos trūkumas, stebimas kaip CVE-2024-7262, buvo panaudotas atakoms laukinėje gamtoje mažiausiai nuo 2024 m. vasario mėn. pabaigos, tačiau turi įtakos versijoms nuo 12.2.0.13110 (2023 m. rugpjūčio mėn.) iki 12.1.0.16412 (kovo d.).

„Kingsoft“ „tyliai“ problemą pataisė šių metų kovą, neinformuodamas klientų, kad klaida buvo aktyviai išnaudota, todėl kampaniją ir pažeidžiamumą atradusi ESET šiandien paskelbė išsamią ataskaitą.

Be CVE-2024-7262, ESET tyrimas atskleidė antrą rimtą trūkumą, pažymėtą CVE-2024-7263, kurį Kingsoft pataisė 2024 m. gegužės pabaigoje su 12.2.0.17119 versija.

APT-C-60 išnaudojimas

CVE-2024-7262 yra susijęs su tuo, kaip programinė įranga tvarko pasirinktines protokolų tvarkykles, ypač „ksoqing://“, kuri leidžia vykdyti išorines programas naudojant specialiai sukurtus URL adresus dokumentuose.

Dėl netinkamo šių URL patvirtinimo ir valymo, trūkumas leidžia užpuolikams sukurti kenkėjiškų hipersaitų, dėl kurių vykdomas savavališkas kodas.

APT-C-60 sukūrė skaičiuoklės dokumentus (MHTML failus), kuriuose buvo įterptos kenkėjiškos hipersaitos, paslėptos po apgaulės atvaizdu, kad apgaulė auką spustelėtų juos ir suaktyvintų išnaudojimą.

Apdorotuose URL parametruose yra base64 koduota komanda, skirta vykdyti konkretų papildinį (promecefpluginhost.exe), kuris bando įkelti kenkėjišką DLL (ksojscore.dll), kuriame yra užpuoliko kodas.

Šis DLL yra APT-C-60 parsisiuntimo komponentas, skirtas galutiniam naudingajam kroviniui (TaskControler.dll) gauti iš užpuoliko serverio, pasirinktinio užpakalinių durų, pavadintų „SpyGlace“.

APT-C-60 atakos apžvalga
APT-C-60 atakos apžvalga
Šaltinis: ESET

„SpyGlace“ yra užpakalinės durys, kurias anksčiau išanalizavo Threatbook, kai APT-C-60 naudojo jį atakoms prieš žmogiškuosius išteklius ir su prekyba susijusias organizacijas.

Blogas pleistras palieka tarpą

Tirdami APT-C-60 atakas, ESET tyrėjai aptiko CVE-2024-7263 – antrą savavališko kodo vykdymo trūkumą, turintį įtakos WPS Office, kuris pasirodė kaip neužbaigta CVE-2024-7262 pataisa.

Konkrečiai kalbant, pradinis „Kingsoft“ bandymas išspręsti problemą pridėjo konkrečių parametrų patvirtinimą. Tačiau kai kurie, pavyzdžiui, „CefPluginPathU8“, vis dar nebuvo tinkamai apsaugoti, todėl užpuolikai vėl galėjo nurodyti kenkėjiškų DLL kelius per promecefpluginhost.exe.

ESET paaiškina, kad šį pažeidžiamumą galima išnaudoti vietoje arba naudojant bendrą tinklo dalį, kurioje gali būti priglobtas kenkėjiškas DLL.

Nepaisant šios galimybės, tyrėjai nepastebėjo APT-C-60 ar kitų veikėjų, kurie išnaudojo trūkumą laukinėje gamtoje. Tačiau turėdami pakankamai laiko, mažai tikėtina, kad jie būtų atradę saugumo spragą, kurią paliko blogas Kingsoft pataisas.

WPS Office vartotojams rekomenduojama kuo greičiau pereiti prie naujausios leidimo arba bent 12.2.0.17119, kad būtų pašalintos abi kodo vykdymo klaidos.

„Išnaudojimas yra gudrus, nes yra pakankamai apgaulingas, kad bet kuris vartotojas būtų apgautas, kad spustelėtų teisėtai atrodančią skaičiuoklę, kartu yra labai veiksmingas ir patikimas“, – perspėja ESET pranešime.

„Pasirinkus MHTML failo formatą, užpuolikai galėjo paversti kodo vykdymo pažeidžiamumą nuotoliniu.

Peržiūrėkite šią „GitHub“ saugyklą, kad gautumėte visą su APT-C-60 veikla susijusių kompromisų (IoC) rodiklių sąrašą.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Klaipedos miesto naujienos - Miesto naujienos - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Teniso treniruotės - Pranešimai spaudai - Kauno naujienos - Regionų naujienos - Palangos naujienos