Dünya çapında 500 milyondan fazla aktif kullanıcısı olan popüler bir ofis paketi olan WPS Office, son zamanlarda keyfi kod yürütülmesine olanak tanıyan kritik güvenlik açıkları buldu.
ESET araştırmacıları, Güney Kore bağlantılı bir siber casusluk grubu olan APT-C-60’ın faaliyetlerini araştırırken CVE-2024-7262 ve CVE-2024-7263 olarak tanımlanan bu güvenlik açıklarını keşfetti.
Bu kılavuz, söz konusu güvenlik açıklarının ayrıntılı teknik analizini, bunların nasıl istismar edildiğini ve bunların nasıl azaltılacağını açıklamaktadır.
Güvenlik Açıklarına Genel Bakış
CVE-2024-7262
İlk güvenlik açığı, CVE-2024-7262, APT-C-60 aktivitelerinin araştırılması sırasında keşfedildi. Bu kusur, saldırganların WPS Office eklenti bileşeni promecefpluginhost.exe’yi istismar ederek keyfi kod yürütmesine olanak tanır.
Güvenlik açığı, dosya yollarının uygunsuz şekilde temizlenmesinden ve yüklenen eklentilerin yeterli şekilde doğrulanmamasından kaynaklanıyor.
CVE-2024-7263
CVE-2024-7262’nin keşfinin ardından araştırmacılar, benzer şekilde keyfi kod yürütülmesine izin veren başka bir güvenlik açığı olan CVE-2024-7263’ü tespit ettiler. Bu güvenlik açığı aynı eklenti bileşeninde bulundu ve ilk yamalarla tam olarak giderilmedi.
Sömürü Teknikleri
MHTML Formatından Yararlanma
Saldırganlar, yüklerini MHTML dosya biçimini kullanarak ilettiler. MHTML, HTML, CSS ve JavaScript’i birleştiren ve belgelerin tarayıcılarda görüntülenmesini sağlayan bir web sayfası arşiv biçimidir.
Saldırganlar, bir MHTML dosyasının içine kötü amaçlı bir köprü metni yerleştirerek, belge WPS E-Tablosu’nda açıldığında uzak bir dosyanın indirilmesini ve yürütülmesini tetikleyebilir.
Özel Protokol İşleyicisi İstismarı
WPS Office, harici uygulamaları yürütmek için istismar edilebilen özel bir protokol işleyicisi ksoqing:// kaydeder. Saldırganlar, bu protokolle bir köprü metni oluşturarak uygulamanın kontrol akışını ele geçirebilir ve bu da kötü amaçlı kodun yürütülmesine yol açabilir.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Teknik Analiz
CVE-2024-7262’nin Kök Neden Analizi
Güvenlik açığı, WPS Office’in özel protokol URI’lerini işleme biçiminden kaynaklanır. Bir kullanıcı ksoqing:// şemasına sahip bir köprü metnine tıkladığında, WPS Office sağlanan URL ile bir komut yürütür. Uygun doğrulamanın olmaması, saldırganların bu süreci manipüle ederek keyfi DLL’ler yüklemesine olanak tanır.
Sömürü Süreci
- Kötü Amaçlı Bir Kütüphaneye Ev Sahipliği Yapın: Saldırgan, web sunucusunda kötü amaçlı bir DLL barındırıyor.
- Bir Köprü Oluşturun: Barındırılan DLL’e işaret eden bir köprü metni ksoqing:// protokolü kullanılarak oluşturulur.
- Belgeye Göm: Bağlantı bir elektronik tabloya yerleştirilir ve daha sonra MHTML dosyası olarak dışarı aktarılır.
- Tetikleme Yürütmesi: Belge açıldığında, köprü metni kötü amaçlı DLL’yi indirir ve çalıştırır.
Dosya Uzantısı Kısıtlamalarını Atlatma
Saldırganlar, dosya yoluna bir nokta ekleyerek dosya uzantısı kısıtlamalarını akıllıca aştılar ve Windows API’nin otomatik olarak .dll uzantısı eklemesini engellediler.
Olayların Zaman Çizelgesi
- 29 Şubat 2024: İstismar dokümanı VirusTotal’a yüklendi.
- Mart 2024: Kingsoft, CVE-2024-7262 için sessiz bir yama yayınladı.
- 30 Nisan 2024: Güvenlik açığının aktif olarak istismar edildiği doğrulandı.
- Mayıs 2024: Araştırmacılar yama analizi sırasında CVE-2024-7263’ü keşfetti.
- Ağustos 2024: Her iki güvenlik açığı da kamuoyuyla paylaşıldı.
Etkilenen Sürümler
Güvenlik açıkları, 12.2.0.13110 (Ağustos 2023) ile 12.2.0.17119 (Mayıs 2024) arasındaki WPS Office for Windows sürümlerini etkiliyor. Kullanıcıların bu riskleri azaltmak için en son sürüme güncellemeleri önemle tavsiye edilir.
Bu güvenlik açıklarının keşfi, APT-C-60 gibi gelişmiş kalıcı tehdit (APT) gruplarının oluşturduğu kalıcı tehditleri ortaya koyuyor.
WPS Office’in istismarı, zamanında yazılım güncellemelerinin ve kapsamlı güvenlik uygulamalarının önemini vurgular. Kuruluşlar ve kullanıcılar, sistemlerini yamalamaya öncelik vermeli ve benzer tehditlere karşı dikkatli olmalıdır.
CVE-2024-7262 için Kök Neden Analizi
Başlangıçtaki CVE-2024-7262 güvenlik açığı, promecefpluginhost.exe ve ksojscore.dll bileşenlerinde ek denetimler uygulanarak giderildi.
Bu kontroller, JSCefServicePath değişkenini doğrulamak ve meşru dosya yollarına işaret ettiğinden emin olmak için tasarlanmıştır. Ancak, yama benzer bir değişken olan CefPluginPathU8’i yeterince kapsamadı ve bu da CVE-2024-7263’ün keşfedilmesine yol açtı.
Değişken İşlemede Mantıksal Hatalar
- Büyük/Küçük Harfe Duyarlı ve Büyük/Küçük Harfe Duyarsız Kontroller: Yama, komut satırı argümanları için büyük/küçük harfe duyarlı bir kontrol getirdi. Bir parametre JSCefServicePath değişkeniyle eşleşirse, atıldı. Ancak, sonraki mantık büyük/küçük harfe duyarsız bir karşılaştırma kullandı ve saldırganların değişken adındaki karakter dizisini değiştirerek bu kontrolü atlamasına izin verdi.
- Denetlenmeyen Değişken: JSCefServicePath’in Kingsoft imzalı bir kütüphaneye işaret ettiğinden emin olmak için doğrulanmış olmasına rağmen, CefPluginPathU8 değişkeni aynı incelemeye tabi tutulmadı. Bu gözetim, saldırganların kütüphane yükleme sürecini manipüle etmesine izin verdi.
Sömürü Yolu
Bu güvenlik açığı, saldırgan tarafından kontrol edilen bir kütüphaneyi yüklemek için CefPluginPathU8 değişkenini değiştirerek istismar edilebilir.
Süreç şu şekildedir:
- Değişken Adında Büyük/Küçük Harf Değiştirme: Saldırganlar, CefPluginPathU8’deki bir veya daha fazla harfin büyük/küçük harf durumunu değiştirerek ilk kontrolü atlatabilir.
- Ağ Yolu Yükleme: LoadLibraryExW fonksiyonu ağ yollarına izin vererek saldırganların ağ paylaşımında kötü amaçlı bir kütüphaneyi barındırmasını ve CefPluginPathU8’i ona yönlendirmesini sağlar.
- libcef.dll ekleniyor: Bu istismar, libcef.dll’nin dosya yoluna otomatik olarak eklenmesiyle sınırlandırılmıştır. Ancak bu, uygun adı taşıyan bir kitaplığı bir ağ paylaşımında barındırarak yönetilebilir.
Güvenlik Açığının Kullanılması
CVE-2024-7263’ü istismar etmenin birincil yöntemi, bir ağ yolundan bir kitaplığı yüklemek için LoadLibraryExW işlevini kullanmayı içerir. Bu yaklaşım etkilidir çünkü yerel dosya yolu kısıtlamalarını aşar ve kontrol edilmemiş CefPluginPathU8 değişkeninden yararlanır.
Etkilenen Sürümler
Güvenlik açığı, 12.2.0.13110 (Ağustos 2023’te yayımlandı) ile 12.2.0.17119 (Mayıs 2024’te yamalandı) arasındaki WPS Office for Windows sürümlerini etkiliyor. Bu sürümlerin kullanıcıları risk altındadır ve derhal en son sürüme güncelleme yapmalıdır.
CVE-2024-7263’ün keşfi, Doğu Asya ülkelerindeki kullanıcıları hedeflemeye yoğun ilgi gösteren APT-C-60 gibi grupların oluşturduğu kalıcı tehdidi de vurguluyor. Karmaşık tekniklerden yararlanarak, görünüşte zararsız belgeleri uzaktan kod yürütme için güçlü araçlara dönüştürebilirler.
Güvenlik uzmanları, bu açıkların teknik ayrıntılarını ve istismar yöntemlerini anlayarak sistemlerini daha iyi koruyabilir ve gelecekte benzer saldırıların önüne geçebilirler.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial