Исследователи ESET обнаружили уязвимость при выполнении кода в WPS Office для Windows (CVE-2024-7262), которая использовалась APT-C-60, южнокорейской группой кибершпионажа. Проанализировав первопричину, мы впоследствии обнаружили другой способ использования ошибочного кода (CVE-2924-7263). В результате скоординированного процесса раскрытия информации обе уязвимости теперь исправлены – в этом блоге мы приводим технические подробности.
Ключевые моменты публикации в блоге:
- APT-C-60 использовал уязвимость при выполнении кода в WPS Office для Windows (CVE-2024-7262) для атаки на страны Восточной Азии.
- Ниже приводится анализ основных причин этой уязвимости, а также описание ее использования в качестве оружия.
- Изучение эксплойта привело исследователей ESET к открытию альтернативного способа использования уязвимости (CVE-2024-7263).
Обзор
Исследуя деятельность APT-C-60, мы обнаружили странный документ в виде электронной таблицы, ссылающийся на один из многочисленных компонентов загрузчика группы. Наш анализ привел нас к обнаружению уязвимости при выполнении кода в WPS Office для Windows, которая широко используется APT-C-60 в странах Восточной Азии. Конечная полезная нагрузка – это пользовательский бэкдор, который мы внутренне назвали SpyGlace и который был публично задокументирован ThreatBook как TaskControler.dll.
Согласно веб-сайту WPS, у этого программного обеспечения более 500 миллионов активных пользователей по всему миру, что делает его хорошей целью для охвата значительного числа людей в регионе Восточной Азии. В ходе нашего скоординированного процесса раскрытия уязвимостей DBAPPSecurity независимо опубликовала анализ уязвимости, связанной с оружием, и подтвердила, что APT-C-60 использовал эту уязвимость для доставки вредоносного ПО пользователям в Китае.
Вредоносный документ (SHA-1: 7509B4C506C01627C1A4C396161D07277F044AC6) представляет собой экспортную версию MHTML в широко используемом формате электронных таблиц XLS. Однако он содержит специально созданную и скрытую гиперссылку, предназначенную для запуска произвольной библиотеки при нажатии на нее при использовании приложения WPS для работы с электронными таблицами. Довольно необычный формат файла MHTML позволяет загружать файл сразу после открытия документа; таким образом, использование этого метода при одновременном использовании уязвимости обеспечивает удаленное выполнение кода. На рисунке 1 показано, как документ отображается в электронной таблице WPS: изображение строк и столбцов, ссылающихся на почтовое решение Coremail, используется в качестве приманки. Изображение скрывает вредоносную гиперссылку.
В соответствии с нашей согласованной политикой раскрытия уязвимостей, с момента загрузки документа, содержащего информацию об уязвимостях, на VirusTotal и до публикации этого поста в блоге соблюдался следующий график:
- 2024-02-29: Документ об эксплойте для CVE-2024-7262 был загружен в VirusTotal.
- 2024-03-??: Kingsoft выпустила обновление, которое незаметно исправило уязвимость CVE-2024-7672, так что эксплойт 2024-02-29 больше не работал. Это было установлено ретроспективно, путем анализа всех доступных версий WPS Office за период с 2024-03 по 2024-04, поскольку Kingsoft не была особенно откровенна в предоставлении точных сведений о своих действиях при попытке устранить эту уязвимость.
- 2024-04-30: Мы проанализировали вредоносный документ от VirusTotal и обнаружили, что он активно использует уязвимость CVE-2024-7262, которая на момент первоначального использования документа была уязвимостью нулевого дня. Мы также обнаружили, что исправление Kingsoft silent исправило только одну часть ошибочного кода, а оставшийся ошибочный код все еще можно было использовать.
- 2024-05-25: Мы связались с Kingsoft, чтобы сообщить о наших результатах. Хотя первая уязвимость уже была исправлена, мы спросили, могут ли они создать запись CVE и/или публичное заявление, как это было сделано для CVE-2022-24934.
- 2024-05-30: Kingsoft признала наличие уязвимостей и сообщила, что будет держать нас в курсе.
- 2024-06-17: Мы запросили обновление.
- 2024-06-22: Kingsoft сообщила нам, что команда разработчиков все еще работает над этим и намерена исправить это в следующей версии.
- 2024-07-31: Основываясь на более поздних тестах, мы обнаружили, что CVE-2024-7263 был автоматически исправлен. Мы сообщили Kingsoft, что зарезервировали и готовим CVE-2024-7262 и CVE-2024-7263.
- 2024-08-11: команда DBAPPSecurity независимо опубликовала свои выводы.
- 2024-08-15: Опубликованы CVE-2024-7262 и CVE-2024-7263.
- 2024-08-16: Мы запросили у Kingsoft еще одно обновление.
- 2024-08-22: Kingsoft признала, что к концу мая исправила CVE-2024-7263, что противоречит заявлению компании от 2024-06-22 о том, что ее команда разработчиков “все еще работает над этим”.
- 2024-08-28: Компания Kingsoft признала обе уязвимости и исправила обе. Однако компания Kingsoft не проявила заинтересованности в распространении информации о распространенном использовании CVE-2024-7262, поэтому мы публикуем этот пост в блоге, чтобы предупредить клиентов Kingsoft о том, что им следует срочно обновить WPS Office в связи с распространением использования CVE-2024-7262 третьими лицами.-2024-7262 уязвимости и эксплойты, которые увеличивают вероятность дальнейшего использования.
Уязвимость CVE-2024-7262 была вызвана отсутствием очистки пути к файлу, предоставленного злоумышленником, и отсутствием проверки загружаемого плагина.