ESET Research dévoile des failles zéro days dans WPS Office pour Windows

Prochain article
  • Le groupe APT-C-60, lié à la Corée du Sud, a exploité une faille de sécurité critique (CVE-2024-7262) dans WPS Office pour Windows pour cibler l'Asie de l'Est.
  • L'attaque a été identifiée grâce à un tableur suspect contenant des éléments liés au téléchargeur d'APT-C-60. L'exploit utilisait ingénieusement le format MHTML pour transformer la vulnérabilité locale en attaque à distance, tout en trompant les utilisateurs avec une apparence légitime.
  • Au cours de son analyse, ESET Research a découvert une seconde vulnérabilité exploitable (CVE-2024-7263) dans le même logiciel.
  • À la suite d’un processus de divulgation coordonné, Kingsoft a reconnu et corrigé les deux failles.

Les chercheurs d'ESET ont identifié une faille de sécurité critique (CVE-2024-7262) dans WPS Office pour Windows. Cette vulnérabilité, permettant l'exécution de code à distance, a été exploitée par le groupe de cyberespionnage APT-C-60, lié à la Corée du Sud, pour cibler des pays d'Asie de l'Est. Au cours de leur enquête, les chercheurs d'ESET ont découvert une autre méthode d'exploitation (CVE-2924-7263). À la suite d’un processus de divulgation coordonné, ces deux failles ont été corrigées. L'attaque d'APT-C-60 utilisait un backdoor personnalisé avec des capacités d'espionnage, nommé SpyGlace par ESET Research.

Romain Dumont, chercheur chez ESET, explique : « Lors de nos investigations sur le groupe APT-C-60, nous avons trouvé une partie de l’un de leur téléchargeur dans un tableur. Avec plus de 500 millions d'utilisateurs actifs dans le monde, WPS Office est une cible idéale pour atteindre un large public, particulièrement en Asie de l'Est. » Durant le processus de divulgation avec l’éditeur, DBAPPSecurity a également publié une analyse de la vulnérabilité, confirmant son exploitation par APT-C-60 pour diffuser des malwares en Chine.

Le document malveillant se présente comme une feuille de calcul XLS classique, exportée au format MHTML. Il contient cependant un lien hypertexte caché et spécialement conçu pour déclencher l'exécution arbitraire d'une bibliothèque lors d'un clic dans l'application WPS Spreadsheet. Le format MHTML est peu commun et permet le téléchargement d'un fichier dès l'ouverture du document. Cette technique, combinée à l'exploitation de la vulnérabilité, permet l'exécution de code à distance.

Romain Dumont précise : « Pour exploiter cette faille, un attaquant doit stocker une bibliothèque malveillante dans un endroit accessible par l'ordinateur ciblé, soit sur le système, soit sur un partage distant, et connaître son chemin d'accès à l'avance. Les développeurs d'exploits ciblant cette vulnérabilité ont utilisé certaines astuces pour y parvenir. À l'ouverture du tableur avec WPS Spreadsheet, la bibliothèque distante est automatiquement téléchargée et stockée sur le disque. »

La vulnérabilité étant exploitable en un seul clic, ses développeurs y ont ingénieusement intégré une image reproduisant l'apparence d'une feuille de calcul classique. Cette astuce visait à tromper l'utilisateur en lui faisant croire qu'il s’agit d'un document ordinaire. L'hyperlien malveillant était habilement dissimulé dans cette image, de sorte qu'un simple clic sur une cellule suffisait à déclencher l'exploit.

Romain Dumont conclut : « Que l'exploit ait été développé en interne ou acquis, sa création a nécessité une connaissance approfondie du fonctionnement interne de l'application WPS Office, ainsi qu'une compréhension précise des mécanismes de chargement de Windows. Cette remarque met en lumière la sophistication technique derrière cette attaque. »

Suite à l'analyse du correctif publié par Kingsoft, Monsieur Dumont a constaté que la faille n'avait pas été entièrement corrigée. Il a ainsi découvert une nouvelle méthode d'exploitation due à une validation d'entrée inadéquate. ESET Research a promptement signalé ces deux vulnérabilités à Kingsoft, qui les a reconnues et corrigées. Deux nouvelles entrées CVE de gravité élevée ont été créées en conséquence : CVE-2024-7262 et CVE-2024-7263.

Cette découverte met en évidence l'importance cruciale d'un processus rigoureux de vérification des correctifs, visant à s'assurer que le problème initial a été intégralement résolu. Face à cette situation, ESET recommande fortement aux utilisateurs de WPS Office pour Windows de mettre à jour leur logiciel vers la version la plus récente, afin de se prémunir contre ces vulnérabilités.

Pour plus d'informations techniques sur les vulnérabilités et les exploits de WPS Office, consultez l’article de blog « Analyse de deux vulnérabilités d'exécution de code arbitraire affectant WPS Office » sur WeLiveSecurity.com.

Vue d'ensemble du flux de contrôle de l'exploit.

Contact Presse :

Laura PACCAGNELLA : +33 01 55 89 08 88 -  laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 -  ines.k@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/na 
et suivez-nous sur LinkedIn, Facebook et Instagram.