В результате проведенного исследования специалисты ESET обнаружили критическую уязвимость в популярном офисном пакете Kingsoft WPS, которая позволяет злоумышленникам удаленно выполнять код и внедрять вредоносное ПО. Уязвимость, идентифицированная как CVE-2024-7262, используется южнокорейской группой кибершпионажа APT-C-60 для развертывания бэкдора SpyGlace.
По мнению исследователей, проблема заключается в некорректной работе программы с пользовательскими обработчиками протоколов, что позволяет запускать внешние приложения через специально подготовленные URL-адреса в документах. Злоумышленники используют это для создания вредоносных гиперссылок, которые при нажатии на них позволяют запускать произвольный код.
Чтобы воспользоваться этой ошибкой, хакеры создают электронные таблицы, в которые вставляют вредоносные ссылки, скрытые под изображением-приманкой. Когда жертва нажимает на такую ссылку, запускается эксплойт, который загружает вредоносную DLL-библиотеку с сервера злоумышленников.
Kingsoft исправила проблему в марте этого года, но не публиковала информацию о том, что баг уже активно эксплуатируется хакерами. Это побудило исследователей ESET опубликовать подробный отчет о происходящем.
Эксперты рекомендуют пользователям WPS Office как можно скорее перейти на последнюю версию или обновить программное обеспечение до версии 12.2.0.17119, чтобы устранить обе уязвимости при выполнении кода.
]]>
