Специалисты по кибербезопасности из компании ESET обнаружили критическую уязвимость в популярном офисном пакете WPS Office для Windows. Эксперты выяснили, что южнокорейская хакерская группировка APT-C-60 активно эксплуатирует данный баг для распространения опасного бэкдора SpyGlace. Уязвимость затрагивает миллионы пользователей по всему миру, что делает ее особенно опасной.
Детали уязвимости CVE-2024-7262
Уязвимость, получившая идентификатор CVE-2024-7262, позволяет удаленно выполнять произвольный код на компьютерах жертв. Проблема затрагивает версии WPS Office с 12.2.0.13110 по 12.1.0.16412, выпущенные в период с августа 2023 года по март 2024 года. Корень проблемы кроется в некорректной обработке кастомных URL-протоколов, в частности ksoqing://, что позволяет злоумышленникам создавать вредоносные гиперссылки для выполнения произвольного кода.
Механизм эксплуатации уязвимости
Хакеры из APT-C-60 используют следующую схему атаки:
- Создание вредоносного документа электронной таблицы в формате MHTML
- Внедрение в документ ссылки с эксплойтом, замаскированной под изображение-приманку
- При клике жертвы на ссылку запускается вредоносный плагин promecefpluginhost.exe
- Плагин загружает вредоносную библиотеку ksojscore.dll
- Библиотека загружает финальную полезную нагрузку — бэкдор SpyGlace
Дополнительная уязвимость CVE-2024-7263
В ходе расследования атак APT-C-60 исследователи ESET обнаружили еще одну критическую уязвимость в WPS Office — CVE-2024-7263. Эта проблема возникла из-за некорректного исправления изначального бага CVE-2024-7262. Хотя разработчики попытались добавить валидацию параметров, некоторые из них остались незащищенными, что по-прежнему позволяет злоумышленникам указывать пути к вредоносным DLL-библиотекам.
Рекомендации по защите
Для защиты от обнаруженных уязвимостей специалисты по кибербезопасности настоятельно рекомендуют пользователям WPS Office предпринять следующие меры:
- Обновить WPS Office до последней версии (не ниже 12.2.0.17119)
- Внимательно проверять все входящие документы, особенно от неизвестных отправителей
- Использовать надежное антивирусное ПО с актуальными базами данных
- Применять принцип наименьших привилегий при работе с документами
Обнаруженные уязвимости в WPS Office демонстрируют, насколько важно своевременно обновлять программное обеспечение и соблюдать базовые правила кибергигиены. Угроза целевых атак со стороны APT-групп остается высокой, поэтому организациям и частным пользователям необходимо постоянно повышать уровень своей кибербезопасности и быть готовыми к новым вызовам в этой области.
