Le groupe de cyberespionnage aligné sur la Corée du Sud APT-C-60 a exploité une vulnérabilité d’exécution de code zero-day dans la version Windows de WPS Office pour installer la porte dérobée SpyGlace sur des cibles d’Asie de l’Est.

WPS Office est une suite de productivité développée par la firme chinoise Kingsoft qui est populaire en Asie. Il aurait plus de 500 millions d’utilisateurs actifs dans le monde entier.

La faille zero-day, suivie sous le nom de CVE-2024-7262, a été exploitée dans des attaques dans la nature depuis au moins fin février 2024, mais affecte les versions de 12.2.0.13110 (août 2023) à 12.1.0.16412 (mars 2024).

Kingsoft a » silencieusement  » corrigé le problème en mars de cette année sans informer les clients que la faille était activement exploitée, incitant ESET, qui a découvert la campagne et la vulnérabilité, à publier un rapport détaillé aujourd’hui.

En plus de CVE-2024-7262, l’enquête d’ESET a dévoilé une deuxième faille grave, identifiée sous le nom de CVE-2024-7263, que Kingsoft a corrigée fin mai 2024 avec la version 12.2.0.17119.

APT-C-60 exploitation
CVE-2024-7262 réside dans la façon dont le logiciel gère les gestionnaires de protocoles personnalisés, en particulier  » ksoqing:// », qui permet l’exécution d’applications externes via des URL spécialement conçues dans des documents.

En raison d’une validation et d’une désinfection incorrectes de ces URL, la faille permet aux attaquants de créer des hyperliens malveillants qui conduisent à l’exécution de code arbitraire.

APT-C-60 a créé des tableurs (fichiers MHTML) dans lesquels ils ont intégré des hyperliens malveillants cachés sous une image leurre pour inciter la victime à cliquer dessus, déclenchant l’exploit.

Les paramètres d’URL traités incluent une commande codée en base64 pour exécuter un plugin spécifique (promecefpluginhost.exe) qui tente de charger une DLL malveillante (ksojscore.dll) contenant le code de l’attaquant.

Cette DLL est le composant de téléchargement d’APT-C-60, conçu pour récupérer la charge utile finale (TaskControler.dll) à partir du serveur de l’attaquant, une porte dérobée personnalisée nommée ‘SpyGlace.’

Aperçu des attaques d’APT-C-60

SpyGlace est une porte dérobée précédemment analysée par Threatbook lorsque APT-C-60 l’a utilisée dans des attaques contre des organisations liées aux ressources humaines et au commerce.

Un mauvais patch laisse un vide
En enquêtant sur les attaques d’APT-C-60, les chercheurs d’ESET ont découvert CVE-2024-7263, une deuxième faille d’exécution de code arbitraire affectant WPS Office, qui est apparue comme un correctif incomplet de CVE-2024-7262.

Plus précisément, la tentative initiale de Kingsoft de résoudre le problème a ajouté une validation sur des paramètres spécifiques. Cependant, certains, comme le « CefPluginPathU8 », n’étaient toujours pas suffisamment sécurisés, permettant aux attaquants de pointer vers des chemins de DLL malveillantes via promecefpluginhost.exe à nouveau.

ESET explique que cette vulnérabilité peut être exploitée localement ou via un partage réseau, où la DLL malveillante pourrait être hébergée.

Malgré cette possibilité, les chercheurs n’ont pas observé APT-C-60 ou d’autres acteurs exploitant la faille dans la nature. Cependant, avec suffisamment de temps, il n’est pas improbable qu’ils aient découvert la faille de sécurité laissée par le mauvais patch de Kingsoft.

Il est recommandé aux utilisateurs de WPS Office de passer à la dernière version dès que possible, ou au moins à la version 12.2.0.17119, pour corriger les deux défauts d’exécution du code.

« L’exploit est rusé car il est suffisamment trompeur pour inciter n’importe quel utilisateur à cliquer sur une feuille de calcul d’apparence légitime tout en étant très efficace et fiable », prévient ESET dans le rapport.

« Le choix du format de fichier MHTML a permis aux attaquants de transformer une vulnérabilité d’exécution de code en une vulnérabilité distante. »

Consultez ce référentiel GitHub pour une liste complète des indicateurs de compromission (IOC) associés à l’activité APT-C-60.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *