WPSOffice再曝未公开远程命令执行漏洞

admin 2024年10月7日18:17:28评论20 views字数 1348阅读4分29秒阅读模式

1.漏洞概括

WPS Office 是由北京金山办公软件股份有限公司自主研发的一款办公软件套装,可以实现办公软件最常用的文字、表格、演示、PDF 阅读等多种功能,其具有内存占用低、运行速度快、云功能多、强大插件平台支持、免费提供在线存储空间及文档模板的优点。

近日,微步漏洞团队捕获到一起利用 WPS Office 未公开远程命令执行漏洞进行在野攻击的事件。

攻击者可利用该漏洞生成恶意文档,受害者只需打开文档,无需其他任何操作,即可执行恶意代码,进而完全控制主机

经过紧急分析,该漏洞影响最新版 WPS Office,受影响的终端可能超过百万,目前官方尚未修复,属于在野0day 状态。该漏洞配合钓鱼等场景危害极大,建议立即处置。

2.漏洞处置优先级(VPT)
综合处置优先级:
漏洞编号 微步编号 XVE-2023-25570
漏洞评估 危害评级
漏洞类型 RCE
公开程度 PoC未公开
交互要求 0-click
威胁类型 本地
利用情报 微步已捕获攻击行为
影响产品 产品名称 kingsoft-wps_office
受影响版本
  • WPS Office个人版(Windows)低于最新版12.1.0.15355(含)

  • WPS Office机构版本(Windows)低于最新版11.8.2.12089(含)

影响范围 百万级以上
有无修复补丁

3.漏洞复现

WPSOffice再曝未公开远程命令执行漏洞

4.修复方案

4.1官方修复方案

官方暂未发布补丁,建议关注官方通告。

4.2临时修复方案

在未升级至安全版本前,建议不要使用 WPS打开来源未知的文档

4.3临时处置建议

使用如下IOC进行检测:
http://39.105.138.249/wpsauth
http://39.105.138.249/qingbangong.json
http://39.105.138.249/chuangkitjson
http://39.105.138.249/tutorial.html
http://39.105.138.249/symsrv.dll
http://39.105.138.249/EqnEditexe
123.57.150.145/tutorial.html
123.57.150.145/qingbangong.json
123.57150.145/chuangkit.json
182.92.111.169/tutorial.html
39.105.128.11/tutorial.html
123.57.129.70:443
123.57.129.70:80
safetyitsm.s3-us-east-1.ossfiles.com
hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com
76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shzhen.aliyuncs.com
123.56.0.10:80
182.92.111.169.80
182.92.165.230:443
6e8tOxobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com
a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com

原文始发于微信公众号(雾都的猫):WPSOffice再曝未公开远程命令执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日18:17:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WPSOffice再曝未公开远程命令执行漏洞https://cn-sec.com/archives/1971647.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息