1.漏洞概括
WPS Office 是由北京金山办公软件股份有限公司自主研发的一款办公软件套装,可以实现办公软件最常用的文字、表格、演示、PDF 阅读等多种功能,其具有内存占用低、运行速度快、云功能多、强大插件平台支持、免费提供在线存储空间及文档模板的优点。
近日,微步漏洞团队捕获到一起利用 WPS Office 未公开远程命令执行漏洞进行在野攻击的事件。
攻击者可利用该漏洞生成恶意文档,受害者只需打开文档,无需其他任何操作,即可执行恶意代码,进而完全控制主机
经过紧急分析,该漏洞影响最新版 WPS Office,受影响的终端可能超过百万,目前官方尚未修复,属于在野0day 状态。该漏洞配合钓鱼等场景危害极大,建议立即处置。
综合处置优先级:高
漏洞编号 | 微步编号 | XVE-2023-25570 |
漏洞评估 | 危害评级 | 高 |
漏洞类型 | RCE | |
公开程度 | PoC未公开 | |
交互要求 | 0-click | |
威胁类型 | 本地 | |
利用情报 | 微步已捕获攻击行为 | 是 |
影响产品 | 产品名称 | kingsoft-wps_office |
受影响版本 |
|
|
影响范围 | 百万级以上 | |
有无修复补丁 | 无 |
3.漏洞复现
4.修复方案
4.1官方修复方案
官方暂未发布补丁,建议关注官方通告。
在未升级至安全版本前,建议不要使用 WPS打开来源未知的文档
使用如下IOC进行检测:
http://39.105.138.249/wpsauth
http://39.105.138.249/qingbangong.json
http://39.105.138.249/chuangkitjson
http://39.105.138.249/tutorial.html
http://39.105.138.249/symsrv.dll
http://39.105.138.249/EqnEditexe
123.57.150.145/tutorial.html
123.57.150.145/qingbangong.json
123.57150.145/chuangkit.json
182.92.111.169/tutorial.html
39.105.128.11/tutorial.html
123.57.129.70:443
123.57.129.70:80
safetyitsm.s3-us-east-1.ossfiles.com
hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com
76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shzhen.aliyuncs.com
123.56.0.10:80
182.92.111.169.80
182.92.165.230:443
6e8tOxobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com
a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com
原文始发于微信公众号(雾都的猫):WPSOffice再曝未公开远程命令执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论