早前蓝点网提到金山软件的 WPS Office 出现高危安全漏洞并且已经有黑客集团将漏洞武器化进行利用,WPS 官方称受影响的只有 WPS 2023 国际版,其他版本并未受影响。
当然金山软件还是和之前相同,对于安全漏洞虽然会进行修复但始终不愿意发布完整的安全公告提醒用户提防攻击,例如在此次漏洞中金山软件就没有透露漏洞已经被积极利用。
这促使发现漏洞的网络安全公司 ESET 又发布新的详细报告提醒用户和企业立即升级到最新版本并提防来自韩国的黑客团伙发起的攻击。
漏洞的大致时间线:
发现漏洞的是网络安全公司 ESET,该公司发现漏洞 1 (CVE-2024-7262) 至少从 2024 年 2 月份开始就已经遭到黑客的利用,因此属于零日漏洞的范畴。
ESET 尽责向金山软件通报漏洞,后者于 2024 年 3 月发布新版本悄悄修复漏洞,但没有发布公告提醒这枚漏洞已经遭到积极利用。
随后 ESET 又发现金山软件的修复不够彻底仍然存在漏洞,漏洞 2 (CVE-2024-7263) 通报给金山软件后,后者在 2024 年 5 月完成漏洞修复。
实际受影响的版本为 WPS 12.2.0.13110 (发布于 2023 年 8 月)~12.2.0.17119 (发布于 2024 年 5 月),也就是说用户至少应当升级到 2024 年 5 月之后发布的新版本。
韩国黑客团伙 APT-C-60 正在积极利用漏洞:
尽管漏洞已经得到修复但肯定还有用户和企业因为各种原因没有升级到最新版本,这导致漏洞仍然可被利用,于是韩国黑客团伙 APT-C-60 开始积极利用此漏洞。
其中 CVE-2024-7262 漏洞属于 WPS 自定义协议处理程序中,即 ksoqing:// 这类用来快速打开 WPS 的协议,由于验证和清理不当,黑客可以制作触发任意代码执行 (RCE) 的恶意超链接。
在实际攻击案例中 APT-C-60 创建 MHTML 文件并在文件内添加诱饵图像和恶意超链接,例如使用图片制作的点击加载文档,当用户真点击图片其实触发的是恶意超链接。
恶意超链接被点击后会触发漏洞,随后 APT-C-60 通过 base64 编码的命令执行特定插件 (promecefpluginhost.exe),这是个后门程序,被 ESET 命名为 SpyGlace。
ESET 也提醒称这种攻击方式非常狡猾,因为有足够的欺骗性,可以诱骗用户点击看似没问题的文件从而触发漏洞,对用户尤其是企业用户来说谨慎打开电子邮件或其他从网上下载的文件一直是个重要安全习惯。
