ESET Forscher haben eine Schwachstelle in WPS Office für Windows (CVE-2024-7262) entdeckt, die von der Hackergruppe APT-C-60 ausgenutzt wurde. Den Cyberkriminellen werden Verbindungen nach Südkorea nachgesagt. Bei der Ursachenanalyse entdeckten wir zudem eine weitere Möglichkeit, den fehlerhaften Code auszunutzen (CVE-2924-7263). Beide Schwachstellen sind nun gepatcht. 

Überblick

Bei der Untersuchung der Aktivitäten von APT-C-60 fanden wir ein seltsames Tabellendokument, das auf eine der vielen Downloader-Komponenten der Gruppe verwies. Unsere Analyse führte uns zu einer Sicherheitslücke in WPS Office für Windows. Die APT-Gruppe nutzte diese aus, um ostasiatische Länder anzugreifen. Bei der endgültige Schadsoftware handelt es sich um eine benutzerdefinierte Backdoor. Wir haben ihr den Namen SpyGlace. Sie wurde von ThreatBook als TaskControler.dll öffentlich dokumentiert.

Laut der WPS-Website hat diese Software weltweit über 500 Millionen aktive Nutzer. Dies macht sie zu einem guten Ziel , um eine beträchtliche Anzahl von Personen in der ostasiatischen Region anzugreifen. Während unseres koordinierten Verfahrens zur Offenlegung von Schwachstellen hat DBAPPSecurity unabhängig eine Analyse der als Waffe genutzten Schwachstelle veröffentlicht und bestätigt, dass APT-C-60 die Schwachstelle ausgenutzt hat, um Malware an Benutzer in China zu senden.

 

Figure 1. The exploit document embeds a picture hiding the malicious hyperlink
Abbildung 1. Das Exploit-Dokument bettet ein Bild ein, das den bösartigen Hyperlink verbirgt

Ein Zeitplan vom Hochladen des Exploit-Dokuments auf ViruTotal bis zum Patch der Sicherheitslücken:

  • 2024-02-29: Das Exploit-Dokument für CVE-2024-7262 wird auf VirusTotal hochgeladen.
  • 2024-03-??: Kingsoft veröffentlicht ein Update, das die Sicherheitslücke CVE-2024-7672 stillschweigend patcht, so dass der Exploit vom 2024-02-29 nicht mehr funktioniert. Dies wurde rückwirkend festgestellt, indem wir alle zugänglichen WPS-Office-Versionen zwischen 2024-03 und 2024-04 analysiert haben, da Kingsoft keine genauen Angaben über seine Maßnahmen zur Behebung dieser Sicherheitslücke machte.
  • 2024-04-30: Wir analysieren das bösartige Dokument von VirusTotal und entdecken, dass es aktiv die Sicherheitslücke CVE-2024-7262 ausnutzt, die zum Zeitpunkt der ersten Verwendung des Dokuments eine Zero-Day-Schwachstelle war. Wir entdecken außerdem, dass der Patch von Kingsoft nur einen Teil des fehlerhaften Codes korrigiert und der restliche fehlerhafte Code weiterhin ausgenutzt werden kann.
  • 2024-05-25: Wir kontaktieren Kingsoft, um unsere Erkenntnisse mitzuteilen. Obwohl die erste Schwachstelle bereits gepatcht war, fragen wir, ob sie einen CVE-Eintrag und/oder eine öffentliche Erklärung erstellen könnten, wie sie es für CVE-2022-24934 getan hatten.
  • 2024-05-30: Kingsoft bestätigt die Sicherheitslücken und sagt uns, dass sie uns auf dem Laufenden halten würden.
  • 2024-06-17: Bitte um ein Update bei Kingsoft.
  • 2024-06-22: Kingsoft teilt uns mit, dass das Entwicklungsteam noch daran arbeitet und die Schwachstelle in der nächsten Version beheben will.
  • 2024-07-31: Bei späteren Tests stellen wir fest, dass CVE-2024-7263 stillschweigend gepatcht wurde. Wir teilen Kingsoft mit, dass wir CVE-2024-7262 und CVE-2024-7263 reserviert hatten und in Vorbereitung waren.
  • 2024-08-11: Das DBAPPSecurity-Team veröffentlicht seine Erkenntnisse
  • 2024-08-15: CVE-2024-7262 und CVE-2024-7263 werden veröffentlicht.
  • 2024-08-16: Bitte um ein weiteres Update bei Kingsoft.
  • 2024-08-22: Kingsoft bestätigt, dass es CVE-2024-7263 bis Ende Mai behoben hatte, was im Widerspruch zu der Behauptung des Unternehmens vom 2024-06-22 steht, sein Entwicklungsteam "arbeite noch daran".
  • 2024-08-28: Kingsoft gibt zu, dass es beide Sicherheitslücken gepatcht hat. Das Unternehmen bekundet jedoch daran, Details zur Ausnutzung der Sicherheitslücke CVE-2024-7262 in freier Wildbahn zu veröffentlichen. Daher veröffentlichen wir jetzt diesen Blogpost, um die Kunden von Kingsoft zu warnen, dass sie WPS Office dringend aktualisieren sollten, da die Sicherheitslücke CVE-2024-7262 ausgenutzt und von Dritten offengelegt wurde.

 

Weiterführende Informationen finden Sie im englischen Original-Blogpost:

Analysis of two arbitrary code execution vulnerabilities affecting WPS Office (welivesecurity.com)