ESET araştırmacıları Windows için WPS Office’te uzaktan kod yürütme güvenlik açığı keşfetti (CVE-2024-7262). Güney Kore yanlısı bir siber casusluk grubu olan APT-C-60, Doğu Asya ülkelerini hedef almak için bunu istismar ediyordu. Kök nedeni incelerken, ESET hatalı kodu istismar etmenin başka bir yolunu keşfetti (CVE-2924-7263).
Saldırının kontrol akışına genel bakış (Kaynak: ESET)
Koordineli bir ifşa sürecinin ardından, her iki güvenlik açığı da artık düzeltildi. APT-C-60 saldırısındaki son yük, ESET Research’ün dahili olarak SpyGlace adını verdiği siber casusluk yeteneklerine sahip özel bir arka kapıdır.
“APT-C-60 aktivitelerini araştırırken, grubun birçok indirici bileşeninden birine atıfta bulunan garip bir elektronik tablo belgesi bulduk. WPS Office yazılımının dünya çapında 500 milyondan fazla aktif kullanıcısı var, bu da onu özellikle Doğu Asya bölgesinde önemli sayıda kişiye ulaşmak için iyi bir hedef haline getiriyor,” diyor güvenlik açıklarını analiz eden ESET araştırmacısı Romain Dumont. ESET ve satıcı arasındaki koordineli güvenlik açığı ifşa süreci sırasında, DBAPPSecurity bağımsız olarak silahlandırılmış güvenlik açığının bir analizini yayınladı ve APT-C-60’ın Çin’deki kullanıcılara kötü amaçlı yazılım göndermek için güvenlik açığını kullandığını doğruladı.
Kötü amaçlı belge, yaygın olarak kullanılan XLS elektronik tablo biçiminin bir MHTML dışa aktarımı olarak gelir. Ancak, WPS Elektronik Tablo uygulaması kullanılırken tıklandığında keyfi bir kitaplığın yürütülmesini tetiklemek için tasarlanmış özel olarak hazırlanmış ve gizli bir köprü metni içerir. Biraz alışılmadık MHTML dosya biçimi, bir dosyanın belge açılır açılmaz indirilmesine olanak tanır; bu nedenle, bu tekniğin güvenlik açığından yararlanırken kullanılması uzaktan kod yürütme sağlar.
“Bu güvenlik açığından yararlanmak için, bir saldırganın hedeflenen bilgisayar tarafından erişilebilir bir yerde, sistemde veya uzak bir paylaşımda kötü amaçlı bir kitaplık depolaması ve dosya yolunu önceden bilmesi gerekir. Bu güvenlik açığını hedefleyen istismar geliştiricileri, bunu başarmalarına yardımcı olan birkaç numara biliyordu,” diye açıklıyor Dumont. “E-tablo belgesi WPS E-tablo uygulamasıyla açıldığında, uzak kitaplık otomatik olarak indirilir ve diske kaydedilir,” diye ekliyor.
Bu tek tıklamalı bir güvenlik açığı olduğundan, istismar geliştiricileri, kullanıcıyı belgenin normal bir elektronik tablo olduğuna inandırmak ve aldatmak için elektronik tablonun satır ve sütunlarının bir resmini içine yerleştirdiler. Kötü amaçlı köprü metni, resimdeki bir hücreye tıklandığında istismarın tetiklenmesi için resme bağlandı.
Dumont, “Grubun CVE-2024-7262 açığını geliştirip geliştirmediğine veya satın alıp almadığına bakılmaksızın, uygulamanın iç yapısı hakkında bir miktar araştırma yapılmasının yanı sıra Windows yükleme sürecinin nasıl davrandığına dair bilgi de gerekiyordu” diyerek sonuca varıyor.
Kingsoft’un sessizce yayımlanan yamasını analiz ettikten sonra Dumont, kusuru düzgün bir şekilde düzeltmediğini fark etti ve uygunsuz bir giriş doğrulaması nedeniyle bundan faydalanmanın başka bir yolunu keşfetti. ESET Research, her iki güvenlik açığını da Kingsoft’a bildirdi ve Kingsoft da bunları kabul edip yamaladı. İki yüksek önem derecesine sahip CVE girişi oluşturuldu: CVE-2024-7262 ve CVE-2024-7263.
Keşif, dikkatli bir yama doğrulama sürecinin önemini ve temel sorunun tamamen ele alındığından emin olmanın önemini vurguluyor. ESET, Windows için WPS Office kullanıcılarına yazılımlarını en son sürüme güncellemelerini şiddetle tavsiye ediyor.