漏洞通告
PART 01
漏洞简介
近日,破冰安全实验室监测到一则 WPS Office 组件漏洞在野利用信息
漏洞编号:CVE-2022-24934
漏洞威胁等级:高危
(参照CVE/CNVD影响评估准则)
影响范围:WPS Office版本小于或等于11.2.0.10382 均存在该漏洞
PART 02
漏洞原理
攻击者通过社会工程学的方式发送利用了该漏洞的 WPS Office 更新包,更新包内包含了名为 wpsupdate.exe 的更新程序,攻击者可使用该更新程序与攻击者控制的服务器进行通信,并且可以修改注册表中的 HKEY_CURRENT_USER 来远程执行代码,实现在受害者的系统上执行系统命令,包括下载和运行任意可执行文件
攻击流程参考图
PART 03
解决方案
1、升级版本
查看自己WPS Office版本
若小于等于 11.2.0.10382,则存在安全隐患
WPS Office英文版目前已经修复该漏洞,请尽快升级到最新版本
官方下载地址:https://www.wps.com
2、检查异常进程
检查运行进程情况,若发现并未运行对应程序但存在如下列表或者其他异常进程,建议进行全面杀毒与防御,若存在疑问可联系我们或者专业人士寻求帮助。
进程列表:
360sd.exe
360rp.exe
360Tray.exe
360Safe.exe
360rps.exe
ZhuDongFangYu.exe
kxetray.exe
kxescore.exe
KSafeTray.exe
KSafe.exe
audiodg.exe
iexplore.exe
MicrosoftEdge.exe
MicrosoftEdgeCP.exe
chrome.exe
参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24934
https://decoded.avast.io/luigicamastra/operation-dragon-castling-apt-group-targeting-betting-companies/
关于破冰
破冰安全实验室是启明星辰集团CSM体系中设立的首批安全实验室,立足成都辐射西南,实验室现有红蓝对抗、漏洞挖掘、攻防竞赛、安全咨询、合规评估、应急响应6大研究方向,潜心研究同时紧跟国内外网络安全形势,专研网络安全前沿技术。
破冰安全实验室坚持以安全技术研究为第一生产力,赋能前场安全服务团队,为客户提供高质量渗透测试、代码审计、安全咨询、风险评估、攻防演练、CTF/AWD竞技、应急响应、安全培训、情报推送等多项个性化安全服务,推动客户网络安全建设。基于多年安全技术研究沉淀,多年大型服务项目实践积累,成功助力党政、金融、能源、运营商等多个重点行业安全保障工作。
END
原文始发于微信公众号(破冰安全实验室):漏洞通告 | WPS Office 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论