1漏洞描述
WPS Office for Windows版本存在RCE(远程代码执行)0day 漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件。该漏洞利用为逻辑型漏洞,具备远程代码执行能力,漏洞利用成功后结合载荷可远程控制目标计算机。而触发该漏洞只需要打开文档即可。
2影响范围
-
WPS Office 2023个人版<11.1.0.15120
-
WPS Office 2019企业版<11.8.2.12085
3高频利用方式
伪装为“薪资调整”、“通知”等主题的诱饵文档进行攻击。
并发现此次攻击有以下特点:
-
和前几天披露的WPS 0Day有相似之处,都包含了wps相关的域名字符串 -
没有缓冲区溢出、宏代码等,但触发了可疑网络请求 -
文档内容具备高可疑性
4修复情况
目前,WPS已经修复该漏洞,提供了升级程序和新安装包。修复时间为23日凌晨1点左右。
5捕捉样本分析
以下2个捕捉案例分别来自微步云沙箱S和安恒云沙箱:
微步云沙箱S分析
疑点一:样本是个WPS文档,但产生了非WPS程序相关的网络行为,大概率存在漏洞利用的行为(在不包含宏等情况的前提下)。
进一步分析后,检测团队发现,其在访问两个链接之后会从远程下载两个可执行文件,且下载链接伪装成json结尾,十分异常。
疑点二:从文件行为角度看,云沙箱S捕获到该样本在特定目录下创建了两个可执行文件,这个行为对一个文档来说很不寻常。进一步分析发现,创建的文件和从远程下载的伪装成json文件的可执行文件哈希相同,且两个文件利用了白加黑DLL劫持的技术手法,嫌疑十足。
再分析恶意DLL,发现其加了UPX壳,包含一个无效的可疑证书。
执行起来后会从阿*云对象存储下载下一阶段的载荷并执行,最终通过C2来控制受害主机。
经过漏洞团队的验证,微步确认,这是一次真实的未知漏洞攻击。验证后,沙箱检测团队快速补充了静态检测规则,检出如下:
安恒云沙箱分析
样本执行后会远程访问
http://foo@[xxx].wps.cn:80@[ip地址]/tutorial.html
↓↓↓
执行脚本
该脚本执行后会删除wps目录下的公式编辑器程序,然后脚本会通过如下地址分别下载exe和dll文件
-
http://[ip]/ qingbangong.json -> [wps安装路径某目录]/EqnEdit.exe
-
http://[ip]/ chuangkit.json -> [wps安装路径某目录]/symsrv.dll
其中exe为微软官方exe程序,被重命名为了EqnEdit.exe,另一个dll程序为木马程序,该dll被命名为symsrv.dll。
实际上,这是进行白加黑利用,在执行重命名的EqnEdit.exe时,其实执行了symsrv.dll恶意程序。
执行成功后会继续访问云存储下载远程payload,最终实现远控。
6微步分析报告
参考:
https://mp.weixin.qq.com/s/BfORc8vSlI96OiWJpLLZqg https://mp.weixin.qq.com/s/l6XJtgGmP1j7DSC3lOktrA
原文始发于微信公众号(WIN哥学安全):通过云沙箱捕捉WPS 0day (RCE)漏洞案例分享
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论