WPS office 最新未公开 0Day漏洞警示

业界资讯 2023-09-05 22:49:15 阅读次数: 0

一、事件描述

在这里插入图片描述

近日,网传监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件,高危级别,官方尚未对此发布修复漏洞,目前建议只能临时弃用wps或者不要点开未知文件,尤其在线网络文件,中招概率极大。

危险级别:高危

网传影响范围:

WPS Office 2023个人版<11.1.0.15120
WPS Office 2019企业版<11.8.2.12085

实际测试影响范围:包括最新版

二、漏洞描述及防护建议

WPS Office 含有未公开远程命令执行漏洞,攻击者可利用进行在野攻击。攻击者可利用该漏洞生成恶意文档,受害者只需打开文档,无需其他任何操作,即可执行恶意代码,进而完全控制主机。经过紧急分析,该漏洞影响最新版 WPS Office,受影响的终端可能超过百万,目前官 方尚未修复,属于在野 0day 状态。该漏洞配合钓鱼等场景危害极大。

1)词汇解释:

0day 漏洞Zero-Day Vulnerability),又称零时漏洞,是指针对某个软件或系统,攻击者发现并利用该软件或系统中已知的但是未被修补的安全漏洞,使得攻击者可以利用这些漏洞进行攻击或者渗透攻击,从而在用户毫不知情的情况下,控制或者篡改受攻击设备或系统的信息。这些漏洞通常由黑客或其他攻击者在软件或系统发布之前或者之后的短时间内就被发现,也就是所谓的“零日”。0day 漏洞可以由黑客或攻击者利用来攻击他们的目标,可以通过不同的方式来实现,例如,攻击者可以利用远程漏洞攻击,通过恶意的网络链接或 e-mail 附件来攻击目标,或者利用本地漏洞攻击,在目标系统上安装木马程序或其他恶意程序。0day 漏洞最容易受到攻击的是软件,因为软件的代码和系统结构更容易受到攻击。

由于 0day 漏洞在软件或系统发布之前或短时间内被攻击者发现,因此开发者或厂商没有足够的时间对漏洞进行修复,从而给攻击者提供了攻击的机会。0day 漏洞是未被公开的安全漏洞,因此很难被发现和利用。但一旦被攻击者利用 0day 漏洞攻击,那受害者一般是没有足够的安全措施来防御这些攻击的,因此 0day 漏洞攻击的成功率非常高,且受影响面一般都较大。因此,0day 漏洞是一种非常危险的安全漏洞,对于软件开发者和厂商来说,0day 漏洞是一种严重的安全威胁。一旦被攻击者发现,就会导致数据泄露、系统瘫痪等安全问题。

2)防护建议:

1、使用如下 IOC 进行检测:

http://39.105.138.249/wpsauth
http://39.105.138.249/qingbangong.json
http://39.105.138.249/chuangkit.json
http://39.105.138.249/tutorial.html
http://39.105.138.249/symsrv.dll
http://39.105.138.249/EqnEdit.exe
123.57.150.145/tutorial.html
123.57.150.145/qingbangong.json
123.57.150.145/chuangkit.json
182.92.111.169/tutorial.html
39.105.128.11/tutorial.html
123.57.129.70:443
123.57.129.70:80
safetyitsm.s3-us-east-1.ossfiles.com hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com 76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com 123.56.0.10:80
182.92.111.169:80
182.92.165.230:443 6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com

2、建议内部进行钓鱼风险提醒,不要点击来源不明的文件,尤其未知来源的PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX文档。请勿轻易点击文档中的URL链接或带有URL超级链接的图片或视频等,包括pdf文档中的URL链接或超级链接。如条件允许,建议通过终端管理系统暂时禁用或删除WPS软件。另打开防护软件的恶意地址扫描。
在这里插入图片描述
在这里插入图片描述

3)漏洞原理

通过wps文件的某种远程加载机制去调用互联网上的资源,其中被调用的资源必须恶意满足域名格式为clientweb.docer.wps.cn.{xxxxx}wps.cn,其中{xxx}是什么都行,然后通过修改docx的某项配置文件中的特定属性,让docx打开时去调用相关文件并加载其中的恶意代码

4)漏洞复现

参看:https://www.bilibili.com/video/BV1Xp4y1u7xH/

猜你喜欢

转载自blog.csdn.net/ximenjianxue/article/details/132446751
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022