韩国黑客利用 WPS Office 零日漏洞部署恶意软件

安全
由于这两个漏洞利用具有较高的欺骗性,能诱使任何用户点击看起来合法的电子表格,安全专家建议WPS用户尽快升级至12.2.0.17119以上或最新版本。

据BleepingComputer消息,与韩国有关的网络黑客组织 APT-C-60近期一直在利用 Windows 版 WPS Office 中的零日漏洞,针对东亚地区目标部署 SpyGlace 后门。

这个被跟踪为 CVE-2024-7262 的零日漏洞至少自 2024 年 2 月下旬以来就被用于野外攻击,影响了WPS 12.2.0.13110至12.1.0.16412之间的版本。今年3月,金山软件已经修补了该漏洞。

CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中,特别是 "ksoqing://",允许通过文档中特制的 URL 执行外部应用程序。 由于对这些 URL 的验证和消毒不当,该漏洞允许攻击者制作恶意超链接,从而导致任意代码执行。

APT-C-60 通过创建MHTML 文件,在其中嵌入了隐藏在诱饵图像下的恶意超链接,诱使受害者点击并触发漏洞。

恶意URL 参数包括一个 base64 编码命令,用于执行一个特定插件 (promecefpluginhost.exe),该插件会尝试加载包含攻击者代码的恶意 DLL (ksojscore.dll),该 DLL 作为 APT-C-60 的下载器组件,用于从攻击者的服务器(一个名为 "SpyGlace "的自定义后门)获取最终有效载荷 (TaskControler.dll)。

APT-C-60攻击概述

此外,研究人员还发现了另外一个任意代码执行漏洞 CVE-2024-7263,该漏洞出现于针对 CVE-2024-7262的补丁缺陷当中。具体来说,金山软件虽然增加了对特定参数的验证,但一些参数(如 "CefPluginPathU8")仍未得到充分保护,从而允许攻击者再次通过promecefpluginhost.exe指向恶意DLL的路径。目前该漏洞也于今年5月得到了修补。

由于这两个漏洞利用具有较高的欺骗性,能诱使任何用户点击看起来合法的电子表格,安全专家建议WPS用户尽快升级至12.2.0.17119以上或最新版本。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-08-30 11:29:01

2022-04-11 14:54:12

黑客漏洞恶意软件

2022-07-26 14:30:57

漏洞黑客网络攻击

2022-06-06 14:17:15

零日漏洞恶意软件网络攻击

2023-09-04 16:01:15

2024-03-29 15:34:37

2021-09-09 06:32:28

零日漏洞网络攻击微软

2022-05-05 09:04:33

恶意软件黑客

2023-08-23 11:44:37

2019-08-26 00:30:48

2015-01-19 10:21:33

2021-03-26 16:51:36

恶意软件漏洞攻击

2012-04-21 19:02:25

黑客Instagram

2022-04-01 10:04:27

]零日漏洞漏洞勒索软件

2021-09-08 10:35:43

黑客零日漏洞攻击

2022-06-16 08:46:30

漏洞黑客微软

2021-06-30 13:37:23

零日恶意软件恶意软件攻击

2014-09-23 17:14:39

2021-07-15 13:20:54

黑客iOS零日漏洞

2010-06-17 10:01:34

点赞
收藏

51CTO技术栈公众号