APT-C-60 izkorišča ranljivost v WPS Office za napad na Vzhodno Azijo
APT-C-60, zloglasna skupina za kibernetsko vohunjenje, povezana z Južno Korejo, je bila ugotovljena ob izkoriščanju kritične ranljivosti (CVE-2024-7262) v priljubljeni programski opremi za pisarniško delo, WPS Office za Windows, z namenom izvajanja kod in pridobivanja podatkov v državah Vzhodne Azije.
Raziskave so pokazale, da je skupina APT-C-60 uporabljala alternativni način izkoriščanja poškodovane kode (CVE-2024-7263). Ta metoda je omogočila napadalcem, da so brez vednosti uporabnikov izvajali poljubno kodo na ranljivih sistemih ter tako pridobili dostop do številnih občutljivih podatkov.
Zero-day ranljivost omogoča zlonamerne napade
Zloraba zero-day ranljivosti v WPS Office je omogočila napadalcem, da so dostavljali zlonamerno programsko opremo metodično in ciljno na uporabnike v Vzhodni Aziji. S pomočjo vdelave zlonamernih hiperpovezav v MHTML datoteke so lahko izkoriščeni uporabniki postali žrtve napadov in kompromitacije njihovih sistemov.
Počasna rešitev problema povzroča zaskrbljenost
Raziskovalci pri ESET so opozorili razvijalca programske opreme, podjetje Kingsoft, na ranljivost. Kingsoft je sicer tiho odpravil ranljivost, vendar brez javnega obvestila o izkoriščanju. Takšno delovanje je povzročilo zaskrbljenost, saj ranljivost še naprej predstavlja grožnjo uporabnikom WPS Office, ki morda niso vedeli za potrebo po nadgradnji programske opreme.
Tehnična analiza izkoriščanja WPS Office
APT-C-60 je ranljivost v WPS Office izkoristil s pomočjo protokola ksoqing za izvajanje zlonamerne kode. Če je uporabnik kliknil na posebej oblikovano hiperpovezavo, je aplikacija WPS Spreadsheet zagnala wps.exe, ki je nato naložila zlonamerno DLL datoteko iz oddaljene lokacije in izvršila poljubno kodo, kar je napadalcem omogočilo nadzor nad sistemom žrtve.
Ranljivost je bila omogočena z uporabo specifičnega formata hiperpovezav, ki je vključevala base64 kodirano ukazno vrstico in token, ki je preverjal avtentičnost ukaza.
Napadalci so za prenos in shranjevanje zlonamerne knjižnice na sistem izkoriščali MHTML format WPS Office. Premišljeno so vstavili img oznako z oddaljenim URL-jem v MHTML datoteko, ki je knjižnico prenesla na predvidljivo lokacijo pod %localappdata%\Temp\wps\INetCache\.
Slednje so omogočile relativne poti iz osnovnega direktorija WPS Office za nalaganje knjižnice mimo problema z .dll pripono z znakom pika na koncu sproženega po odprtju MHTML datoteke ali kliku na povezano sliko v njej. To je vplivalo na različice WPS Office od 12.2.0.13110 do 12.1.0.16412.
Težave z varnostnim popravkom
Popravek, ki ga je Kingsoft uvedel za omilitev CVE-2024-7262, je vseboval napako, ki bi jo napadalci izkoristili za izvajanje kode. Manipulacija z velikostjo črk imenovnih spremenljivk JSCefServicePath in CefPluginPathU8 je omogočila napadalcem, da so obšli predvidene varnostne preveritve in naložili poljubne knjižnice.
Medtem ko je popravek pravilno preverjal podpis knjižnice, naložene iz JSCefServicePath, ni enako ravnal s CefPluginPathU8, kar je napadalcem omogočilo zamenjavo legitimne libcef.dll z zlonamerno različico, kar bi lahko privedlo do oddaljenega izvajanja kode.