Points notables de cet article :
  • Le groupe APT-C-60, lié à la Corée du Sud, a exploité une faille de sécurité critique (CVE-2024-7262) dans WPS Office pour Windows pour cibler l'Asie de l'Est.
  • L'attaque a été identifiée grâce à un tableur suspect contenant des éléments liés au téléchargeur d'APT-C-60. L'exploit utilisait ingénieusement le format MHTML pour transformer la vulnérabilité locale en attaque à distance, tout en trompant les utilisateurs avec une apparence légitime.
  • Au cours de son analyse, ESET Research a découvert une seconde vulnérabilité exploitable (CVE-2024-7263) dans le même logiciel.
  • À la suite d’un processus de divulgation coordonné, Kingsoft a reconnu et corrigé les deux failles.

Les chercheurs d'ESET ont identifié une faille de sécurité critique (CVE-2024-7262) dans WPS Office pour Windows. Cette vulnérabilité permet l'exécution d’un code à distance, et a été exploitée par le groupe de cyberespionnage APT-C-60, lié à la Corée du Sud, pour cibler des pays d'Asie de l'Est. Au cours de leur enquête les chercheurs d'ESET ont découvert une seconde méthode d'exploitation (CVE-2924-7263).

À la suite d’un processus de divulgation coordonné, ces deux failles ont été corrigées. L'attaque d'APT-C-60 utilisait un backdoor personnalisé avec des capacités d'espionnage, nommé SpyGlace par ESET Research.

 

Le document malveillant se présente comme une feuille de calcul XLS classique, exportée au format MHTML. Il contient cependant un lien hypertexte caché et spécialement conçu pour déclencher l'exécution arbitraire d'une bibliothèque lors d'un clic dans l'application WPS Spreadsheet. Le format MHTML est peu commun et permet le téléchargement d'un fichier dès l'ouverture du document. Cette technique, combinée à l'exploitation de la vulnérabilité, permet l'exécution de code à distance.

La vulnérabilité étant exploitable en un seul clic, ses développeurs y ont ingénieusement intégré une image reproduisant l'apparence d'une feuille de calcul classique. Cette astuce visait à tromper l'utilisateur en lui faisant croire qu'il s’agit d'un document ordinaire. L'hyperlien malveillant était habilement dissimulé dans cette image, de sorte qu'un simple clic sur une cellule suffisait à déclencher l'exploit.

Suite à l'analyse du correctif publié par Kingsoft, ESET a constaté que la faille n'avait pas été entièrement corrigée. Il a ainsi été découvert une nouvelle méthode d'exploitation due à une validation d'entrée inadéquate. ESET Research a promptement signalé ces deux vulnérabilités à Kingsoft, qui les a reconnues et corrigées. Deux nouvelles entrées CVE de gravité élevée ont été créées en conséquence : CVE-2024-7262 et CVE-2024-7263.

Vue d'ensemble du flux de contrôle de l'exploit

Pour plus d'informations techniques (dont les IOCs) sur les vulnérabilités et ces exploits de WPS Office, consultez l’article complet sur notre blog « Analyse de deux vulnérabilités d'exécution de code arbitraire affectant WPS Office » sur WeLiveSecurity.com.