Alertas de Seguridad

Un grupo de espionaje explota WPS Office de día cero

Según lo señalado por ESET Research

[02/09/2024] Los investigadores de ESET descubrieron una vulnerabilidad de ejecución remota de código en WPS Office para Windows (CVE-2024-7262). Según lo señalado en el comunicado de prensa, estaba siendo explotada por APT-C-60, un grupo de ciberespionaje alineado con Corea del Sur, para atacar países del este de Asia. Al examinar la causa raíz, ESET descubrió otra forma de explotar el código defectuoso (CVE-2924-7263). Tras un proceso de divulgación coordinado, ambas vulnerabilidades ya están parcheadas. La carga útil final en el ataque APT-C-60 es una puerta trasera personalizada con capacidades de ciberespionaje que ESET Research denominó internamente SpyGlace.

"Mientras investigamos las actividades de APT-C-60, encontramos un extraño documento de hoja de cálculo que hacía referencia a uno de los muchos componentes de descarga del grupo. El software WPS Office tiene más de 500 millones de usuarios activos en todo el mundo, lo que lo convierte en un buen objetivo para llegar a un número sustancial de personas, particularmente en la región de Asia Oriental", sostuvo el investigador de ESET, Romain Dumont, quien analizó las vulnerabilidades. Durante el proceso coordinado de divulgación de vulnerabilidades entre ESET y el proveedor, DBAPPSecurity publicó de forma independiente un análisis de la vulnerabilidad armada y confirmó que APT-C-60 ha explotado la vulnerabilidad para entregar malware a los usuarios en China.

El investigador anotó que el documento malicioso se presenta como una exportación MHTML del formato de hoja de cálculo XLS de uso común. "Sin embargo, contiene un hipervínculo oculto y especialmente diseñado para desencadenar la ejecución de una biblioteca arbitraria si se hace clic en él cuando se utiliza la aplicación WPS Spreadsheet. El formato de archivo MHTML, bastante poco convencional, permite descargar un archivo tan pronto como se abre el documento; Por lo tanto, aprovechar esta técnica mientras se explota la vulnerabilidad proporciona la ejecución remota de código.

Para explotar esta vulnerabilidad, Dumont explicó que un atacante necesitaría almacenar una biblioteca maliciosa en algún lugar accesible para la computadora objetivo, ya sea en el sistema o en un recurso compartido remoto, y conocer la ruta de sus archivos de antemano. "Los desarrolladores de exploits que se centraron en esta vulnerabilidad conocían un par de trucos que les ayudaron a conseguirlo. Al abrir el documento de hoja de cálculo con la aplicación WPS Spreadsheet, la biblioteca remota se descarga automáticamente y se almacena en el disco".

El investigador indicó que, dado que se trata de una vulnerabilidad de un solo clic, los desarrolladores del exploit incrustaron una imagen de las filas y columnas de la hoja de cálculo en su interior para engañar y convencer al usuario de que el documento es una hoja de cálculo normal. El hipervínculo malicioso estaba vinculado a la imagen para que al hacer clic en una celda de la imagen se desencadenara el exploit.

"Tanto si el grupo desarrolló como si compró el exploit para CVE-2024-7262, definitivamente requirió algo de investigación sobre los componentes internos de la aplicación, pero también conocimiento de cómo se comporta el proceso de carga de Windows", concluyó Dumont.

Después de analizar el parche lanzado silenciosamente por Kingsoft, Dumont se dio cuenta de que no había corregido correctamente la falla y descubrió otra forma de explotarla debido a una validación de entrada incorrecta. ESET Research informó de ambas vulnerabilidades a Kingsoft, quien las reconoció y las parcheó. Se crearon dos entradas CVE de alta gravedad: CVE-2024-7262 y CVE-2024-7263.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »