A principios de este año, una amenaza persistente avanzada (APT) de Corea del Sur aprovechó una vulnerabilidad crítica en la Oficina WPS para espiar entidades de alto perfil en China. Resultó que este no era el único problema crítico con el popular software de oficina.
WPS Office es un competidor gratuito de Microsoft Office, con 600 millones de usuarios activos mensuales en junio. Se adopta particularmente ampliamente en su país de origen, China, donde disfruta de una participación de mercado de más del 90% en software de oficina móvil, y se puede encontrar en agencias gubernamentales, empresas de telecomunicaciones y otros sectores importantes. La semana pasada, cuando el servicio Bajé por medio día.Esto causó una gran perturbación en la industria en todo el país.
Su ubicuidad, sin mencionar el manejo de documentos a veces confidenciales, hace que WPS Office sea un objetivo atractivo para los piratas informáticos que atacan a organizaciones e individuos chinos. Tal ha sido el caso de APT-C-60 (también conocido como Pseudo Hunter), un grupo de ciberespionaje alineado con Corea del Sur que anteriormente había atacado entidades en la propia Corea. A principios de este año, proporcionó una puerta trasera personalizada denominada “SpyGlace” a los usuarios de WPS a través de un exploit de ejecución de código arbitrario.
Según DBAPPSecurity, una empresa con sede en China, el objetivo de la campaña era obtener Información sobre las relaciones China-Corea del Sur.
Un error de RCE en WPS Office
El último día de febrero de este año, los investigadores de ESET notaron un extraño documento de hoja de cálculo subido a VirusTotal.
En realidad, la hoja de cálculo estaba incluida en un archivo MHTML, abreviatura de encapsulación MIME de documentos HTML agregados. MHTML es un formato de archivo web que se utiliza para consolidar todo el contenido de una página web en un solo archivo. Puede hacer lo mismo con otros tipos de contenido, como fue el caso aquí, donde APT-C-60 usó una exportación MHTML de un archivo de Microsoft Excel (XLS).
Si las víctimas abrían el archivo, se les presentaba una hoja de cálculo que hacía referencia al servicio de correo electrónico Coremail, con sede en Hong Kong. Por extraño que parezca, en lugar de las filas y columnas normales, había una imagen superpuesta de filas y columnas. Una víctima que intentó hacer clic en lo que parecía ser una celda en realidad activó el archivo de imagen, que enmascaró un enlace malicioso. Este simple clic desencadenó la descarga de la puerta trasera maliciosa APT-C-60.
¿Qué en WPS podría haber permitido un exploit tan peligroso con un solo clic?
Fuente: ESET
El problema estaba en promecefpluginhost.exe, un componente de complemento de WPS Office para Windows que no validaba correctamente las rutas de archivo utilizadas para cargar complementos en el programa. En lugar de simplemente cargar el malware directamente a través del componente inseguro, APT-C-60 utilizó un controlador de protocolo personalizado registrado por WPS (ksoqing://, que permite la ejecución de aplicaciones externas) para ejecutar wps e iniciar promecefpluginhost.exe. provocando que cargue su código malicioso insuficientemente verificado en lugar de un complemento legítimo.
Identificado como CVE-2024-7262, el problema subyacente recibió una puntuación crítica de 9,3 sobre 10 en la escala de gravedad de vulnerabilidad CVSS. Afecta a WPS Office para Windows desde la versión 12.2.0.13110, lanzada hace aproximadamente un año, hasta que fue parcheada en marzo, con la versión 12.1.0.16412. Pero este no es el final de la saga.
Un segundo error en WPS Office
En algún momento de marzo, sin ninguna fanfarria, el desarrollador de WPS Kingsoft aplicó un parche doble para CVE-2024-7262.
“Lo primero que hicieron fue comprobar la firma de la biblioteca que se cargará [by promecefpluginhost.exe] — que es su propio paquete firmado por la empresa”, explica Romain Dumont, investigador de malware de ESET, que publicó una publicación de blog en el parche doble del 28 de agosto. “Y luego intentaron limpiar una de las configuraciones que era vulnerable, pero omitieron otra configuración que permite el mismo tipo de vulnerabilidad”. »
A finales de abril, no sólo CVE-2024-7262 seguía siendo explotado activamente, sino que el otro parámetro mal limpiado no se había solucionado. Este último problema, ahora registrado como CVE-2024-7263, obtuvo su propia calificación de gravedad crítica de 9,3. Dumont estima que probablemente se corrigió en algún momento de la primavera.
Una vez solucionados ambos errores críticos, Dumont insta a todos los usuarios de WPS a aplicar los parches de inmediato. “Esta vulnerabilidad es provocada por una Soltero “Haga clic dentro de la aplicación en el hipervínculo oculto”, dice. “Intenta mantener tu computadora actualizada y ten cuidado. »