Cybersicherheitsexperten haben kürzlich zwei kritische Sicherheitslücken in der beliebten Office-Software WPS Office aufgedeckt. Besonders alarmierend ist, dass eine südkoreanische APT-Gruppe namens APT-C-60 bereits aktiv eine dieser Schwachstellen ausnutzt, um Cyberangriffe durchzuführen. Diese Entdeckung unterstreicht die ständige Bedrohung durch fortschrittliche persistente Bedrohungen (APTs) und die Notwendigkeit erhöhter Wachsamkeit im digitalen Zeitalter.
Details zu den entdeckten Schwachstellen
Die Sicherheitsforscher von ESET identifizierten zwei schwerwiegende Sicherheitslücken in WPS Office:
CVE-2024-7262: Diese Zero-Day-Schwachstelle ermöglicht Remote Code Execution (RCE) durch die Ausnutzung benutzerdefinierter Protokollhandler, insbesondere des „ksoqing://“-Protokolls. Angreifer können dadurch schädliche Hyperlinks in Dokumenten platzieren, die bei einem Klick zur Ausführung beliebigen Codes führen.
CVE-2024-7263: Diese zweite Schwachstelle entstand durch eine unzureichende Behebung von CVE-2024-7262. Sie erlaubt ebenfalls die Ausführung von beliebigem Code, indem bestimmte Parameter wie „CefPluginPathU8“ manipuliert werden.
Ausnutzung durch APT-C-60
Die Hacker-Gruppe APT-C-60 nutzte die Schwachstelle CVE-2024-7262 mindestens seit Ende Februar 2024 aus. Ihre Vorgehensweise umfasste:
- Erstellung von manipulierten MHTML-Dateien mit versteckten bösartigen Links
- Verwendung von Base64-kodierten URLs zur Ausführung eines speziellen Plugins (promecefpluginhost.exe)
- Laden einer schädlichen DLL (ksojscore.dll) als Teil eines mehrstufigen Angriffs
- Bereitstellung der finalen Nutzlast: ein benutzerdefinierter Backdoor namens SpyGlace
Auswirkungen und Verbreitung
WPS Office, entwickelt von der chinesischen Firma Kingsoft, wird monatlich von etwa 500 Millionen Nutzern weltweit verwendet. Die Schwachstellen betreffen Versionen von 12.2.0.13110 (August 2023) bis 12.1.0.16412 (März 2024). Obwohl Kingsoft die Probleme im März bzw. Mai 2024 stillschweigend behoben hat, wurden Nutzer nicht über die aktive Ausnutzung informiert.
Empfehlungen zur Risikominimierung
Um sich vor diesen Bedrohungen zu schützen, empfehlen Cybersicherheitsexperten dringend:
- Sofortiges Update auf die neueste Version von WPS Office (mindestens Version 12.2.0.17119)
- Erhöhte Vorsicht beim Öffnen von Dokumenten aus unbekannten Quellen
- Implementierung eines umfassenden Endpoint-Schutzes zur Erkennung und Abwehr von APT-Aktivitäten
- Regelmäßige Sicherheitsschulungen für Mitarbeiter zur Sensibilisierung für Social-Engineering-Taktiken
Diese Entdeckungen unterstreichen die Bedeutung zeitnaher Softwareupdates und proaktiver Sicherheitsmaßnahmen. Organisationen und Einzelpersonen müssen wachsam bleiben und ihre Cybersicherheitsstrategien kontinuierlich anpassen, um sich gegen die sich ständig weiterentwickelnden Bedrohungen durch APT-Gruppen und andere Cyberkriminelle zu schützen. Nur durch eine Kombination aus technischen Lösungen, Schulungen und Best Practices können wir unsere digitalen Ressourcen effektiv vor solch ausgeklügelten Angriffen schützen.