한국 해커, WPS Office의 두 가지 제로데이 취약점 악용

사이버 보안 회사인 ESET Research는 Windows용 WPS Office 에서 두 가지 심각한 제로데이 취약점을 발견했는데, 이는 한국과 연계된 사이버 간첩 그룹인 APT-C-60이 중국 사용자에게 맬웨어를 전달하는 데 악용한 것입니다.

 

주하이에 본사를 둔 중국 소프트웨어 회사 Kingsoft에서 개발한 WPS Office는 특히 동아시아 지역에서 인기 있는 오피스 생산성 제품군입니다. 전 세계적으로 5억 명 이상의 활성 사용자를 보유하고 있습니다.

 

ESET Research는 APT-C-60의 활동을 조사하는 동안 CVE-2024?-?7262(CVSS 점수: 9.3)로 식별된 최초의 중요한 제로데이를 발견했습니다. 그들은 해킹 그룹의 다운로더 구성 요소에 연결된 이상한 스프레드시트 문서를 발견했습니다.

 

ESET의 추가 분석 결과, APT-C-60이 동아시아 국가를 표적으로 삼아 TaskControler.dll이라고도 알려진 맞춤형 "SpyGlace" 백도어를 설치하는 데 악용되고 있던 Windows용 WPS Office의 코드 실행 취약점이 발견되었습니다.

 

300x250

 

이 결함은 공격자가 제공한 파일 경로의 살균 부족과 로드되는 플러그인의 검증 부족에서 비롯되었습니다. 이 취약성을 활용하면 WPS Office 플러그인 구성 요소인 promecefpluginhost.exe의 제어 흐름을 하이재킹하여 코드를 실행할 수 있습니다.

 

APT-C-60은 Microsoft Excel(XLS) 파일의 표준 MHTML 내보내기로 위장한 악성 스프레드시트 문서를 생성했습니다. 이 문서에는 WPS 스프레드시트 애플리케이션을 사용할 때 클릭하면 임의의 라이브러리가 실행되도록 설계된 숨겨진 하이퍼링크가 포함되어 있습니다.

 

"이 취약점을 악용하려면 공격자는 대상 컴퓨터에서 액세스할 수 있는 시스템이나 원격 공유에 악성 라이브러리를 저장하고 파일 경로를 미리 알아야 합니다. 이 취약점을 타깃으로 하는 악용 개발자는 이를 달성하는 데 도움이 되는 몇 가지 요령을 알고 있었습니다." 결함을 분석한 ESET 연구원 Romain Dumont가 설명했습니다.

 

연구원은 "WPS 스프레드시트 애플리케이션으로 스프레드시트 문서를 열면 원격 라이브러리가 자동으로 다운로드되어 디스크에 저장됩니다."라고 덧붙였습니다.

반응형

 

"이것은 원클릭 취약점이기 때문에, 익스플로잇 개발자들은 스프레드시트의 행과 열의 그림을 스프레드시트 내부에 삽입하여 사용자를 속이고 문서가 일반 스프레드시트라고 믿게 했습니다."

 

ESET에 따르면, WPS Office 개발사인 Kingsoft는 버전 12.1.0.16412를 출시하면서 문제의 제로데이 버그(CVE-2024-7262)를 조용히 패치했습니다. 하지만 패치 분석 중에 ESET 연구원들은 Kingsoft가 문제를 완전히 해결하지 못했다는 것을 발견했습니다.

 

CVE-2024-7262에 대한 패치 분석 중에 ESET 연구원들은 해커가 부적절한 입력 검증을 통해 악용할 수 있는 두 번째 심각한 취약점인 CVE-2024-7263(CVSS 점수 9.3)을 발견했습니다.

 

 

ESET Research는 두 가지 취약점을 모두 Kingsoft에 보고했고, Kingsoft는 이를 인정했으며 현재 WPS Office에서 패치를 적용했습니다. 영향을 받는 WPS Office for Windows 버전은 2023년 8월경에 출시된 12.2.0.13110부터 2024년 5월 말에 패치된 버전 12.2.0.17119가 출시될 때까지 다양합니다.

 

이러한 위험을 완화하기 위해 ESET에서는 모든 Windows용 WPS Office 사용자에게 소프트웨어를 최신 릴리스로 즉시 업데이트할 것을 강력히 권장합니다.

 

*참조한 원본 글 https://www.techworm.net/2024/08/south-korean-hackers-exploit-zero-day-flaw-wps-office.html