1. イベントの説明
最近、オンライン監視により、WPS Office for Windows バージョンにゼロデイ脆弱性が存在することが判明しました。攻撃者は、このゼロデイ脆弱性を利用して、被害者のホスト上で任意の悪意のあるファイルを実行することができます。高リスク レベル、公式はリリースしていませんこの脆弱性は修正されており、現時点では、一時的に脆弱性を放棄するか、未知のファイル、特にオンライン ネットワーク ファイルをクリックしないことが推奨されています。だまされる可能性が非常に高いためです。
危険レベル: 高リスク
ネットワークの影響範囲:
WPS Office 2023 Personal <11.1.0.15120
WPS Office 2019 Enterprise <11.8.2.12085
実際のテスト範囲:最新バージョンを含む
2. 脆弱性の説明と保護の提案
WPS Office には、未公開のリモート コマンド実行の脆弱性が存在し、攻撃者がこれを悪用して実地攻撃を行う可能性があります。攻撃者はこの脆弱性を悪用して悪意のあるドキュメントを生成し、被害者は他の操作を行わずにドキュメントを開いて悪意のあるコードを実行し、ホストを完全に制御する可能性があります。緊急の分析の結果、この脆弱性は最新バージョンの WPS Office に影響を及ぼし、影響を受ける端末は 100 万台を超える可能性がありますが、まだ正式に修正されておらず、公開状態では 0day 状態に属します。この脆弱性は、フィッシングやその他のシナリオと組み合わせると非常に有害です。
1)語彙の説明:
ゼロデイ脆弱性(ゼロデイ脆弱性)はゼロタイム脆弱性とも呼ばれ、特定のソフトウェアまたはシステムを指します。攻撃者はソフトウェアまたはシステム内の既知だがパッチが適用されていないセキュリティ脆弱性を発見して悪用し、攻撃者がこれらの脆弱性を悪用できるようにします。攻撃または侵入攻撃ユーザーの知らないうちに、攻撃されたデバイスまたはシステムの情報を制御または改ざんするため。これらの脆弱性は通常、ソフトウェアやシステムがリリースされる前、またはリリース後の短時間、いわゆる「ゼロデイ」にハッカーや他の攻撃者によって発見されます。ゼロデイ脆弱性は、ハッカーや攻撃者によってターゲットを攻撃するために悪用される可能性があり、さまざまな方法で達成できます。たとえば、攻撃者は、リモートのエクスプロイトを悪用したり、悪意のあるネットワーク リンクや電子メールの添付ファイルを介してターゲットを攻撃したり、ローカルの脆弱性攻撃を悪用したり、インストールしたりすることができます。ターゲット システム上のトロイの木馬またはその他の悪意のあるプログラム。ソフトウェアのコードとシステム構造は攻撃に対してより脆弱であるため、ゼロデイ脆弱性に対して最も脆弱なのはソフトウェアです。
ゼロデイ脆弱性はソフトウェアやシステムがリリースされる前、または短期間に攻撃者によって発見されるため、開発者や製造者には脆弱性を修正する十分な時間がなく、攻撃者に攻撃の機会を与えてしまいます。ゼロデイ脆弱性は公開されていないセキュリティホールであるため、発見して悪用することが困難です。しかし、攻撃者がゼロデイ脆弱性攻撃を一度悪用すると、一般に被害者は攻撃を防御するための十分なセキュリティ対策を講じていないため、ゼロデイ脆弱性攻撃の成功率は非常に高く、影響を受ける範囲は一般に広範囲になります。したがって、0day 脆弱性は非常に危険なセキュリティ脆弱性であり、ソフトウェア開発者や製造業者にとって、0day 脆弱性は深刻なセキュリティ上の脅威です。攻撃者に発見されると、データ漏洩やシステム麻痺などのセキュリティ上の問題が発生します。
2)保護に関する提案:
1. 検出には次の IOC を使用します。
http://39.105.138.249/wpsauth
http://39.105.138.249/qingbangong.json
http://39.105.138.249/chuangkit.json
http://39.105.138.249/tutorial.html
http://39.105.138.249/ sYSrv.dll
http://39.105.138.249/EqnEdit.exe
123.57.1 50.145/tutorial.html 123.57.1
50.145/qingbangong.json 123.57.1
50.145 /chuangkit.json
182.92.111.169/tutorial.html
39. 105.128.11 /tutorial.html
123.57 .129.70:443
123.57.129.70
:80 safetyitsm.s3-us-east-1.ossfiles.com hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com 76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com 12 3.56.0.10:80
182.92 .111.169:80
182.92.165.230:443 6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com
2. 内部フィッシングのリスクに関するリマインダーを実行し、不明なソースからのファイル、特に不明なソースからの PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX ファイルをクリックしないことをお勧めします。PDF ドキュメント内の URL リンクやハイパーリンクを含め、URL ハイパーリンクが含まれるドキュメント、写真、ビデオ内の URL リンクを安易にクリックしないでください。状況が許せば、端末管理システムを通じて WPS ソフトウェアを一時的に無効にするか、削除することをお勧めします。また、保護ソフトウェアの悪意のあるアドレスのスキャンをオンにします。
3) 脆弱性の原則
wps ファイルのリモート読み込みメカニズムを通じてインターネット上のリソースを呼び出すには、呼び出されるリソースが clientweb.docer.wps.cn.{xxxxx}wps.cn のドメイン名形式を意図的に満たしている必要があります ({xxx} には任意の値を指定できます)次に、docx 構成ファイル内の特定の属性を変更することで、docx が関連するファイルを呼び出し、ファイルが開かれたときに悪意のあるコードをロードします。
4) 脆弱性の再発
参照: https://www.bilibili.com/video/BV1Xp4y1u7xH/