两个影响WPS Office的任意代码执行漏洞分析

主要观点总结

ESET研究人员在WPS Office for Windows中发现了两个代码执行漏洞CVE-2024-7262和CVE-2024-7263，它们被韩国网络间谍组织APT-C-60所利用。文章详细描述了漏洞的技术细节和影响，包括漏洞的发现、利用方式、影响版本等。

关键观点总结

关键观点1: CVE-2024-7262漏洞

APT-C-60利用该漏洞通过劫持WPS Office插件组件promecefpluginhost.exe的控制流来执行代码。攻击者通过特殊设计的隐藏超链接触发该漏洞，使用MHTML文件格式下载远程文件并存储恶意库，然后加载并执行。

关键观点2: CVE-2024-7263漏洞

研究人员在分析CVE-2024-7262的补丁时发现了另一个代码执行漏洞。攻击者通过不正确地检查CefPluginPathU8变量，加载并运行存储在攻击者控制路径下的libcef.dll库，从而实现了任意代码执行。

关键观点3: 影响版本

受影响的WPS Office for Windows版本范围从2023年8月左右发布的12.2.0.13110到最新的补丁版本。建议用户及时更新软件以防范潜在风险。