ESET ha rivelato una vulnerabilità di esecuzione di codice remoto in WPS Office per Windows (CVE-2024-7262), sfruttata dal gruppo APT-C-60, allineato alla Corea del Sud, per colpire i Paesi dell’Est Asiatico. Durante l’esame delle cause, i ricercatori ESET hanno scoperto anche un altro modo per sfruttare il codice difettoso (CVE-2024-7263). Dopo un processo di divulgazione coordinata, entrambe le vulnerabilità sono state corrette. Il payload finale nell’attacco di APT-C-60 è una backdoor personalizzata con capacità di spionaggio informatico che ESET Research ha internamente denominato SpyGlace.
In grado di raggiungere milioni di persone
Romain Dumont, ricercatore ESET
Durante l’indagine sulle attività di APT-C-60, abbiamo trovato un documento di foglio di calcolo insolito che faceva riferimento a uno dei numerosi componenti downloader del gruppo. Il software WPS Office ha oltre 500 milioni di utenti attivi in tutto il mondo. Questo lo rende un buon mezzo per raggiungere un numero sostanziale di persone, in particolare nella regione dell’Est asiatico. Durante il processo di divulgazione della vulnerabilità coordinato tra ESET e il vendor, DBAPPSecurity ha pubblicato in modo del tutto autonomo un’analisi della vulnerabilità “armata”. E ha confermato che APT-C-60 ha sfruttato la vulnerabilità per distribuire malware agli utenti in Cina.
Come si presenta
Il documento malevolo si presenta come un’esportazione MHTML del formato XLS comunemente usato. Tuttavia contiene un collegamento ipertestuale nascosto e appositamente realizzato, progettato per attivare l’esecuzione di una libreria non autorizzata se cliccato quando si utilizza l’applicazione WPS Spreadsheet. Il formato di file MHTML poco convenzionale consente a un file di essere scaricato non appena il documento viene aperto. Quindi, adottare questa tecnica mentre si sfrutta la vulnerabilità consente l’esecuzione di codice remoto.
La vulnerabilità in WPS Office
Romain Dumont
Per sfruttare questa vulnerabilità, un attaccante dovrebbe memorizzare una libreria malevola in un punto accessibile dal computer target, sia sul sistema che su una condivisione remota, e conoscere in anticipo il percorso del file. Gli sviluppatori dell’exploit che hanno sfruttato questa vulnerabilità conoscevano alcuni trucchi che li hanno aiutati a raggiungere l’obiettivo. Quando si apre il documento del foglio di calcolo con l’applicazione WPS Spreadsheet, la libreria remota viene automaticamente scaricata e memorizzata su disco.
Un ‘normale’ foglio di calcolo
Poiché si tratta di una vulnerabilità che richiede un solo clic, gli sviluppatori dell’exploit hanno incorporato un’immagine delle righe e colonne del foglio di calcolo. Questo per convincere l’utente che il documento è un normale foglio di calcolo. Il collegamento ipertestuale malevolo era collegato all’immagine in modo che cliccando su una cella di questa si attivasse l’exploit.
Romain Dumont
Indipendentemente dal fatto che il gruppo abbia sviluppato o acquistato l’exploit per CVE-2024-7262, sicuramente è stata necessaria una ricerca sugli interni dell’applicazione. Ma anche una conoscenza del comportamento del processo di caricamento di Windows.
Aggiornare sempre il software, la vulnerabilità in WPS Office
Dopo aver analizzato la patch rilasciata in sordina da Kingsoft, Dumont ha notato che la falla non era stata corretta adeguatamente. Inoltre ha scoperto un altro modo per sfruttarla a causa di una validazione dell’input impropria. ESET Research ha segnalato entrambe le vulnerabilità a Kingsoft, che le ha riconosciute e corrette. Sono state create due voci CVE di alta gravità: CVE-2024-7262 e CVE-2024-7263. La scoperta sottolinea l’importanza di un attento processo di verifica delle patch e la necessità di assicurarsi che il problema di base sia stato affrontato completamente. ESET consiglia vivamente agli utenti di WPS Office per Windows di aggiornare il software all’ultima versione.