- Le groupe APT-C-60, lié à la Corée du Sud, a exploité une faille de sécurité critique (CVE-2024-7262) dans WPS Office pour Windows pour cibler l'Asie de l'Est.
- L'attaque a été identifiée grâce à un tableur suspect contenant des éléments liés au téléchargeur d'APT-C-60. L'exploit utilisait ingénieusement le format MHTML pour transformer la vulnérabilité locale en attaque à distance, tout en trompant les utilisateurs avec une apparence légitime.
- Au cours de son analyse, ESET Research a découvert une seconde vulnérabilité exploitable (CVE-2024-7263) dans le même logiciel.
- À la suite d’un processus de divulgation coordonné, Kingsoft a reconnu et corrigé les deux failles.
Les chercheurs d'ESET ont identifié une faille de sécurité critique (CVE-2024-7262) dans WPS Office pour Windows. Cette vulnérabilité, permettant l'exécution de code à distance, a été exploitée par le groupe de cyberespionnage APT-C-60, lié à la Corée du Sud, pour cibler des pays d'Asie de l'Est. Au cours de leur enquête, les chercheurs d'ESET ont découvert une autre méthode d'exploitation (CVE-2924-7263). À la suite d’un processus de divulgation coordonné, ces deux failles ont été corrigées. L'attaque d'APT-C-60 utilisait un backdoor personnalisé avec des capacités d'espionnage, nommé SpyGlace par ESET Research.
Romain Dumont, chercheur chez ESET, explique : « Lors de nos investigations sur le groupe APT-C-60, nous avons trouvé une partie de l’un de leur téléchargeur dans un tableur. Avec plus de 500 millions d'utilisateurs actifs dans le monde, WPS Office est une cible idéale pour atteindre un large public, particulièrement en Asie de l'Est. » Durant le processus de divulgation avec l’éditeur, DBAPPSecurity a également publié une analyse de la vulnérabilité, confirmant son exploitation par APT-C-60 pour diffuser des malwares en Chine.
Le document malveillant se présente comme une feuille de calcul XLS classique, exportée au format MHTML. Il contient cependant un lien hypertexte caché et spécialement conçu pour déclencher l'exécution arbitraire d'une bibliothèque lors d'un clic dans l'application WPS Spreadsheet. Le format MHTML est peu commun et permet le téléchargement d'un fichier dès l'ouverture du document. Cette technique, combinée à l'exploitation de la vulnérabilité, permet l'exécution de code à distance.
Romain Dumont précise : « Pour exploiter cette faille, un attaquant doit stocker une bibliothèque malveillante dans un endroit accessible par l'ordinateur ciblé, soit sur le système, soit sur un partage distant, et connaître son chemin d'accès à l'avance. Les développeurs d'exploits ciblant cette vulnérabilité ont utilisé certaines astuces pour y parvenir. À l'ouverture du tableur avec WPS Spreadsheet, la bibliothèque distante est automatiquement téléchargée et stockée sur le disque. »
La vulnérabilité étant exploitable en un seul clic, ses développeurs y ont ingénieusement intégré une image reproduisant l'apparence d'une feuille de calcul classique. Cette astuce visait à tromper l'utilisateur en lui faisant croire qu'il s’agit d'un document ordinaire. L'hyperlien malveillant était habilement dissimulé dans cette image, de sorte qu'un simple clic sur une cellule suffisait à déclencher l'exploit.
Romain Dumont conclut : « Que l'exploit ait été développé en interne ou acquis, sa création a nécessité une connaissance approfondie du fonctionnement interne de l'application WPS Office, ainsi qu'une compréhension précise des mécanismes de chargement de Windows. Cette remarque met en lumière la sophistication technique derrière cette attaque. »
Suite à l'analyse du correctif publié par Kingsoft, Monsieur Dumont a constaté que la faille n'avait pas été entièrement corrigée. Il a ainsi découvert une nouvelle méthode d'exploitation due à une validation d'entrée inadéquate. ESET Research a promptement signalé ces deux vulnérabilités à Kingsoft, qui les a reconnues et corrigées. Deux nouvelles entrées CVE de gravité élevée ont été créées en conséquence : CVE-2024-7262 et CVE-2024-7263.
Cette découverte met en évidence l'importance cruciale d'un processus rigoureux de vérification des correctifs, visant à s'assurer que le problème initial a été intégralement résolu. Face à cette situation, ESET recommande fortement aux utilisateurs de WPS Office pour Windows de mettre à jour leur logiciel vers la version la plus récente, afin de se prémunir contre ces vulnérabilités.
Pour plus d'informations techniques sur les vulnérabilités et les exploits de WPS Office, consultez l’article de blog « Analyse de deux vulnérabilités d'exécution de code arbitraire affectant WPS Office » sur WeLiveSecurity.com.
Vue d'ensemble du flux de contrôle de l'exploit.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.