חוקרי ESET חשפו חולשה שמאפשרת הרצת קוד מרחוק ב-WPS Office for Windows (CVE-2024-7262).
החולשה נוצלה ע"י APT-C-60, קבוצת ריגול סייבר שמזוהה עם דרום קוריאה, כדי לפגוע במדינות במזרח אסיה. בזמן בחינת החולשה, ESET חשפה חולשה נוספת שמאפשרת לנצל את תקלת הקוד (CVE-2024-7263). כחלק מתהליך הגילוי, שתי החולשות תוקנו ונסגרו. הקובץ הסופי המשמש כחלק מהמתקפה של APT-C-60 הוא דלת אחורית הכוללת יכולות ריגול סייבר, אותה גוף המחקר של ESET מכנה SpyGlace.
"בזמן חקירת הפעולות של APT-C-60, מצאנו קובץ גיליון עבודה משונה שמפנה לאחד ממרכיבי ההורדה הרבים של הקבוצה. לתוכנת WPS Office יש מעל 500 מיליון משתמשים פעילים ברחבי העולם, מה שהופך אותה לדרך מצוינת להגעה למספר גדול של משתמשים, ובמיוחד באזור מזרח אסיה", אומר רומיין דומונט, אחד מחוקרי ESET שחקר את פרצות האבטחה. במהלך תהליך האסגרה המתואם בין ESET ובין יצרן התוכנה, DBAPPSecurity פרסמו ניתוח עצמאי של הפרצה שנוצלה, ואישרו שקבוצת APT-C-60 ניצלה את הנוזקה כדי להדביק משתמשים ברחבי סין.
המסמך הזדוני מגיע בפורמט MHTML כקובץ מיוצא של פורמט גיליונות העבודה הפופולרי XLS. עם זאת, הקובץ כולל קישור נסתר שתוכנן במיוחד כך שיגרום להרצה של ספריה חיצונית לאחר לחיצה עליו בתוכנת WPS Spreadsheet. הפורמט החריג, MHTML, מאפשר הורדה של קובץ מיד לאחר לחיצה על המסמך, וכך ניתן להשתמש בטכניקה בזמן ניצול הפרצה כדי לקבל אפשרות להרצת קוד מרחוק.
"כדי לנצל את הפרצה, התוקף זקוק לספריה זדונית במקום כלשהו אליו מחשב המטרה יכול לגשת - במערכת עצמה או בכונן משותף - וכן צריך לדעת מראש את מיקומה בספריית הקבצים. מפתחי הפרצה שניצלו את חולשת האבטחה הכירו מספר טריקים שסייעו להם להגיע למטרה הזאת", מסביר דומונט. "בזמן פתיחת קובץ גיליון העבודה באפליקציית WPS Spreadsheet, הספרייה המרוחקת יורדת למחשב באופן אוטומטי ומאוחסנת על הכונן", הוא מוסיף.
"מחקר על מנגנוני הפעולה הפנימיים"
מכיוון שזו חולשת "לחיצה בודדת", מפתחי הפרצה הטמיעו תמונה של השורות והעמודות של גיליון העבודה בתוך הגיליון כדי להטעות את המשתמשים ולהוביל אותם לחשוב שהמסמך הוא קובץ גיליון עבודה רגיל. הקישור הזדוני היה מקושר לתמונה, כך שכל לחיצה על אחד מהתאים בתמונה תפעיל את הפרצה.
"בין אם הקבוצה פיתחה או רכשה את הפרצה שניצלה את חולשת CVE-2024-7262, הדבר בהחלט דרש מחקר על מנגנוני הפעולה הפנימיים של האפליקציה, אך יחד עם זאת דרש ידע גם על אופן ההתנהגות של טעינת תהליך Windows", מסכם דומונט.
לאחר ניתוח טלאי האבטחה של Kingsoft, ששוחרר באופן שקט, דומונט ראה שהטלאי לא מטפל בחולשת האבטחה באופן מלא וחשף דרך אחרת לניצולה, שנבעה מתהליך אימות שגוי של נתוני קלט. גוף המחקר של ESET דיווח ל-Kingsoft על שתי חולשות האבטחה, והם הכירו בהן ושחררו טלאי אבטחה עבורן. נוצרו שתי רשומות CVE ברמת מסוכנות גבוהה: CVE-2024-7262 ו-CVE-2024-7263.
התגלית מוכיחה שוב את חשיבותו של תהליך בדיקת טלאי אבטחה קפדני, שכחלק ממנו נבדק אם בעיית השורש טופלה באופן מלא. חברת ESET ממליצה בחום למשתמשי WPS Office for Windows לעדכן את התוכנה שלהם לגרסתה האחרונה.