WPS Office, o suită de aplicații de birou utilizată de peste 500 de milioane de utilizatori la nivel mondial, a fost descoperită recent că avea vulnerabilități critice care permit executarea de cod arbitrar. Aceste vulnerabilități, identificate ca CVE-2024-7262 și CVE-2024-7263, permit atacatorilor să execute cod malițios pe sistemele utilizatorilor. În acest articol, vom discuta cum funcționează aceste vulnerabilități, tehnicile de exploatare folosite și modalitățile de protecție.
TL;DR
- WPS Office are două vulnerabilități critice: CVE-2024-7262 și CVE-2024-7263.
- Aceste vulnerabilități permit executarea de cod arbitrar de către atacatori.
- Vulnerabilitățile au fost descoperite de cercetătorii de la ESET.
- Se recomandă actualizarea imediată a software-ului.
- Este crucial să aveți practici de securitate cibernetică solide.
Vulnerabilitățile
CVE-2024-7262
Prima vulnerabilitate permite atacatorilor să execute cod arbitrar prin exploatarea componentelor pluginului promecefpluginhost.exe din WPS Office. Problema provine din validarea insuficientă a pluginurilor încărcate.
CVE-2024-7263
A doua vulnerabilitate similară permite de asemenea executarea codului arbitrar și se găsește în aceeași componentă de plugin. Aceasta vulnerabilitate nu a fost complet rezolvată de patch-urile inițiale.
Tehnici de exploatare
Utilizarea formatului MHTML
Atacatorii folosesc formatul de fișier MHTML pentru a-și livra payload-urile. Prin inserarea unui hyperlink malițios într-un fișier MHTML, atacatorii pot declanșa descărcarea și executarea unui fișier de la distanță atunci când documentul este deschis în WPS Spreadsheet.
Exploatarea protocolului personalizat
WPS Office înregistrează un handler de protocol personalizat, ksoqing://, care poate fi exploatat pentru a executa aplicații externe. Prin crearea unui hyperlink cu acest protocol, atacatorii pot prelua controlul fluxului aplicației, ducând la executarea codului malițios.
Analiza tehnică
Cauza principală a CVE-2024-7262
Această vulnerabilitate apare din modul în care WPS Office gestionează URI-urile de protocol personalizate. Lipsa unei validări adecvate permite atacatorilor să manipuleze acest proces pentru a încărca DLL-uri arbitrare.
Procesul de exploatare
- Găzduirea unei biblioteci malițioase: atacatorul găzduiește o DLL malițioasă pe un server web.
- Crearea unui hyperlink: este creat un hyperlink care indică DLL-ul găzduit folosind protocolul ksoqing://.
- Inserarea în document: hyperlink-ul este inserat într-un fișier spreadsheet exportat ca fișier MHTML.
- Executarea declanșată: când documentul este deschis, hyperlink-ul descarcă și execută DLL-ul malițios.
Protejați-vă
Este esențial să actualizați la cea mai recentă versiune de WPS Office pentru a remedia aceste vulnerabilități. În plus, adoptarea unor practici de securitate cibernetică solide, cum ar fi verificarea actualizărilor software în mod regulat și evitarea deschiderii documentelor din surse necunoscute, vă pot proteja împotriva unor atacuri similare.
Sursa articolului:
https://cybersecuritynews.com/arbitrary-code-execution-vulnerabilities/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
