WPS Office’i Etkileyen Keyfi Kod Yürütme Güvenlik Açıkları

   Eylül 3, 2024  Posted in CyberSecurityNews


WPS Office'i Etkileyen Keyfi Kod Yürütme Güvenlik Açıkları – Teknik Analiz

Dünya çapında 500 milyondan fazla aktif kullanıcısı olan popüler bir ofis paketi olan WPS Office, son zamanlarda keyfi kod yürütülmesine olanak tanıyan kritik güvenlik açıkları buldu.

ESET araştırmacıları, Güney Kore bağlantılı bir siber casusluk grubu olan APT-C-60’ın faaliyetlerini araştırırken CVE-2024-7262 ve CVE-2024-7263 olarak tanımlanan bu güvenlik açıklarını keşfetti.

DÖRT

Bu kılavuz, söz konusu güvenlik açıklarının ayrıntılı teknik analizini, bunların nasıl istismar edildiğini ve bunların nasıl azaltılacağını açıklamaktadır.

İstismar belgesi, kötü amaçlı köprü metnini gizleyen bir resmi yerleştiriyor
İstismar belgesi, kötü amaçlı köprü metnini gizleyen bir resmi gömüyor

Güvenlik Açıklarına Genel Bakış

CVE-2024-7262

İlk güvenlik açığı, CVE-2024-7262, APT-C-60 aktivitelerinin araştırılması sırasında keşfedildi. Bu kusur, saldırganların WPS Office eklenti bileşeni promecefpluginhost.exe’yi istismar ederek keyfi kod yürütmesine olanak tanır.

Güvenlik açığı, dosya yollarının uygunsuz şekilde temizlenmesinden ve yüklenen eklentilerin yeterli şekilde doğrulanmamasından kaynaklanıyor.

CVE-2024-7263

CVE-2024-7262’nin keşfinin ardından araştırmacılar, benzer şekilde keyfi kod yürütülmesine izin veren başka bir güvenlik açığı olan CVE-2024-7263’ü tespit ettiler. Bu güvenlik açığı aynı eklenti bileşeninde bulundu ve ilk yamalarla tam olarak giderilmedi.

Sömürü Teknikleri

MHTML Formatından Yararlanma

Saldırganlar, yüklerini MHTML dosya biçimini kullanarak ilettiler. MHTML, HTML, CSS ve JavaScript’i birleştiren ve belgelerin tarayıcılarda görüntülenmesini sağlayan bir web sayfası arşiv biçimidir.

Saldırganlar, bir MHTML dosyasının içine kötü amaçlı bir köprü metni yerleştirerek, belge WPS E-Tablosu’nda açıldığında uzak bir dosyanın indirilmesini ve yürütülmesini tetikleyebilir.

Özel Protokol İşleyicisi İstismarı

WPS Office, harici uygulamaları yürütmek için istismar edilebilen özel bir protokol işleyicisi ksoqing:// kaydeder. Saldırganlar, bu protokolle bir köprü metni oluşturarak uygulamanın kontrol akışını ele geçirebilir ve bu da kötü amaçlı kodun yürütülmesine yol açabilir.

WPS E-Tablo uygulaması, özel protokol ksoqing'i işlemek için wps.exe'yi başlatır
WPS E-Tablo uygulaması, özel protokol ksoqing’i işlemek için wps.exe’yi başlatır

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!

Teknik Analiz

CVE-2024-7262’nin Kök Neden Analizi

Güvenlik açığı, WPS Office’in özel protokol URI’lerini işleme biçiminden kaynaklanır. Bir kullanıcı ksoqing:// şemasına sahip bir köprü metnine tıkladığında, WPS Office sağlanan URL ile bir komut yürütür. Uygun doğrulamanın olmaması, saldırganların bu süreci manipüle ederek keyfi DLL’ler yüklemesine olanak tanır.

Exploitin kontrol akışına genel bakış.
Exploitin kontrol akışına genel bakış.

Sömürü Süreci

  1. Kötü Amaçlı Bir Kütüphaneye Ev Sahipliği Yapın: Saldırgan, web sunucusunda kötü amaçlı bir DLL barındırıyor.
  2. Bir Köprü Oluşturun: Barındırılan DLL’e işaret eden bir köprü metni ksoqing:// protokolü kullanılarak oluşturulur.
  3. Belgeye Göm: Bağlantı bir elektronik tabloya yerleştirilir ve daha sonra MHTML dosyası olarak dışarı aktarılır.
  4. Tetikleme Yürütmesi: Belge açıldığında, köprü metni kötü amaçlı DLL’yi indirir ve çalıştırır.
JSCefServicePath parametresi çözülür ve QLibrary::load metodu için bir argüman olarak kullanılır.
JSCefServicePath parametresi çözülür ve QLibrary::load metodu için bir argüman olarak kullanılır.

Dosya Uzantısı Kısıtlamalarını Atlatma

Saldırganlar, dosya yoluna bir nokta ekleyerek dosya uzantısı kısıtlamalarını akıllıca aştılar ve Windows API’nin otomatik olarak .dll uzantısı eklemesini engellediler.

MHTML dosyasına img etiketi eklenmesi.
MHTML dosyasına img etiketi eklenmesi.

Olayların Zaman Çizelgesi

  • 29 Şubat 2024: İstismar dokümanı VirusTotal’a yüklendi.
  • Mart 2024: Kingsoft, CVE-2024-7262 için sessiz bir yama yayınladı.
  • 30 Nisan 2024: Güvenlik açığının aktif olarak istismar edildiği doğrulandı.
  • Mayıs 2024: Araştırmacılar yama analizi sırasında CVE-2024-7263’ü keşfetti.
  • Ağustos 2024: Her iki güvenlik açığı da kamuoyuyla paylaşıldı.

Etkilenen Sürümler

Güvenlik açıkları, 12.2.0.13110 (Ağustos 2023) ile 12.2.0.17119 (Mayıs 2024) arasındaki WPS Office for Windows sürümlerini etkiliyor. Kullanıcıların bu riskleri azaltmak için en son sürüme güncellemeleri önemle tavsiye edilir.

Bu güvenlik açıklarının keşfi, APT-C-60 gibi gelişmiş kalıcı tehdit (APT) gruplarının oluşturduğu kalıcı tehditleri ortaya koyuyor.

WPS Office’in istismarı, zamanında yazılım güncellemelerinin ve kapsamlı güvenlik uygulamalarının önemini vurgular. Kuruluşlar ve kullanıcılar, sistemlerini yamalamaya öncelik vermeli ve benzer tehditlere karşı dikkatli olmalıdır.

Düzenli satır ve sütunlardan oluşan bir görüntüyü yerleştiren aldatıcı bir elektronik tablo
Düzenli satır ve sütunlardan oluşan bir görüntüyü yerleştiren aldatıcı bir elektronik tablo

CVE-2024-7262 için Kök Neden Analizi

Başlangıçtaki CVE-2024-7262 güvenlik açığı, promecefpluginhost.exe ve ksojscore.dll bileşenlerinde ek denetimler uygulanarak giderildi.

Bu kontroller, JSCefServicePath değişkenini doğrulamak ve meşru dosya yollarına işaret ettiğinden emin olmak için tasarlanmıştır. Ancak, yama benzer bir değişken olan CefPluginPathU8’i yeterince kapsamadı ve bu da CVE-2024-7263’ün keşfedilmesine yol açtı.

Kod denetimi ve geçirilen parametrelerin atılması
Kod denetimi ve geçirilen parametrelerin atılması

Değişken İşlemede Mantıksal Hatalar

  1. Büyük/Küçük Harfe Duyarlı ve Büyük/Küçük Harfe Duyarsız Kontroller: Yama, komut satırı argümanları için büyük/küçük harfe duyarlı bir kontrol getirdi. Bir parametre JSCefServicePath değişkeniyle eşleşirse, atıldı. Ancak, sonraki mantık büyük/küçük harfe duyarsız bir karşılaştırma kullandı ve saldırganların değişken adındaki karakter dizisini değiştirerek bu kontrolü atlamasına izin verdi.
  2. Denetlenmeyen Değişken: JSCefServicePath’in Kingsoft imzalı bir kütüphaneye işaret ettiğinden emin olmak için doğrulanmış olmasına rağmen, CefPluginPathU8 değişkeni aynı incelemeye tabi tutulmadı. Bu gözetim, saldırganların kütüphane yükleme sürecini manipüle etmesine izin verdi.

Sömürü Yolu

Bu güvenlik açığı, saldırgan tarafından kontrol edilen bir kütüphaneyi yüklemek için CefPluginPathU8 değişkenini değiştirerek istismar edilebilir.

Süreç şu şekildedir:

  • Değişken Adında Büyük/Küçük Harf Değiştirme: Saldırganlar, CefPluginPathU8’deki bir veya daha fazla harfin büyük/küçük harf durumunu değiştirerek ilk kontrolü atlatabilir.
  • Ağ Yolu Yükleme: LoadLibraryExW fonksiyonu ağ yollarına izin vererek saldırganların ağ paylaşımında kötü amaçlı bir kütüphaneyi barındırmasını ve CefPluginPathU8’i ona yönlendirmesini sağlar.
  • libcef.dll ekleniyor: Bu istismar, libcef.dll’nin dosya yoluna otomatik olarak eklenmesiyle sınırlandırılmıştır. Ancak bu, uygun adı taşıyan bir kitaplığı bir ağ paylaşımında barındırarak yönetilebilir.

Güvenlik Açığının Kullanılması

CVE-2024-7263’ü istismar etmenin birincil yöntemi, bir ağ yolundan bir kitaplığı yüklemek için LoadLibraryExW işlevini kullanmayı içerir. Bu yaklaşım etkilidir çünkü yerel dosya yolu kısıtlamalarını aşar ve kontrol edilmemiş CefPluginPathU8 değişkeninden yararlanır.

Özel kütüphanemizin yüklenmesini gösteren Procmon'un yığın görünümü
Özel kütüphanemizin yüklenmesini gösteren Procmon’un yığın görünümü

Etkilenen Sürümler

Güvenlik açığı, 12.2.0.13110 (Ağustos 2023’te yayımlandı) ile 12.2.0.17119 (Mayıs 2024’te yamalandı) arasındaki WPS Office for Windows sürümlerini etkiliyor. Bu sürümlerin kullanıcıları risk altındadır ve derhal en son sürüme güncelleme yapmalıdır.

CVE-2024-7263’ün keşfi, Doğu Asya ülkelerindeki kullanıcıları hedeflemeye yoğun ilgi gösteren APT-C-60 gibi grupların oluşturduğu kalıcı tehdidi de vurguluyor. Karmaşık tekniklerden yararlanarak, görünüşte zararsız belgeleri uzaktan kod yürütme için güçlü araçlara dönüştürebilirler.

Güvenlik uzmanları, bu açıkların teknik ayrıntılarını ve istismar yöntemlerini anlayarak sistemlerini daha iyi koruyabilir ve gelecekte benzer saldırıların önüne geçebilirler.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial



Source link