WPS office 最新未公开 0Day漏洞警示

一、事件描述

近日,网传监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件,高危级别,官方尚未对此发布修复漏洞,目前建议只能临时弃用wps或者不要点开未知文件,尤其在线网络文件,中招概率极大。

危险级别:高危

网传影响范围:

WPS Office 2023个人版<11.1.0.15120

WPS Office 2019企业版<11.8.2.12085

实际测试影响范围:包括最新版

二、漏洞描述及防护建议

WPS Office 含有未公开远程命令执行漏洞,攻击者可利用进行在野攻击。攻击者可利用该漏洞生成恶意文档,受害者只需打开文档,无需其他任何操作,即可执行恶意代码,进而完全控制主机。经过紧急分析,该漏洞影响最新版 WPS Office,受影响的终端可能超过百万,目前官 方尚未修复,属于在野 0day 状态。该漏洞配合钓鱼等场景危害极大。

1)词汇解释:

0day 漏洞(Zero-Day Vulnerability),又称零时漏洞 ,是指针对某个软件或系统,攻击者发现并利用该软件或系统中已知的但是未被修补的安全漏洞,使得攻击者可以利用这些漏洞进行攻击或者渗透 攻击,从而在用户毫不知情的情况下,控制 或者篡改受攻击设备或系统的信息。这些漏洞通常由黑客或其他攻击者在软件或系统发布之前或者之后的短时间内就被发现,也就是所谓的"零日"。0day 漏洞可以由黑客或攻击者利用来攻击他们的目标,可以通过不同的方式来实现,例如,攻击者可以利用远程漏洞攻击,通过恶意的网络链接或 e-mail 附件来攻击目标,或者利用本地漏洞攻击,在目标系统上安装木马程序或其他恶意程序。0day 漏洞最容易受到攻击的是软件,因为软件的代码和系统结构更容易受到攻击。

由于 0day 漏洞在软件或系统发布之前或短时间内被攻击者发现,因此开发者或厂商没有足够的时间对漏洞进行修复,从而给攻击者提供了攻击的机会。0day 漏洞是未被公开的安全漏洞,因此很难被发现和利用。但一旦被攻击者利用 0day 漏洞攻击,那受害者一般是没有足够的安全措施来防御这些攻击的,因此 0day 漏洞攻击的成功率非常高,且受影响面一般都较大。因此,0day 漏洞是一种非常危险的安全漏洞,对于软件开发者和厂商来说,0day 漏洞是一种严重的安全威胁。一旦被攻击者发现,就会导致数据泄露、系统瘫痪等安全问题。

2)防护建议:

1、使用如下 IOC 进行检测:

http://39.105.138.249/wpsauth

http://39.105.138.249/qingbangong.json

http://39.105.138.249/chuangkit.json

http://39.105.138.249/tutorial.html

http://39.105.138.249/symsrv.dll

http://39.105.138.249/EqnEdit.exe

123.57.150.145/tutorial.html

123.57.150.145/qingbangong.json

123.57.150.145/chuangkit.json

182.92.111.169/tutorial.html

39.105.128.11/tutorial.html

123.57.129.70:443

123.57.129.70:80

safetyitsm.s3-us-east-1.ossfiles.com hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com 76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com 123.56.0.10:80

182.92.111.169:80

182.92.165.230:443 6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com

2、建议内部进行钓鱼风险提醒,不要点击来源不明的文件,尤其未知来源的PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX文档。请勿轻易点击文档中的URL链接或带有URL超级链接的图片或视频等,包括pdf文档中的URL链接或超级链接。如条件允许,建议通过终端管理系统暂时禁用或删除WPS软件。另打开防护软件的恶意地址扫描。

3)漏洞原理

通过wps文件的某种远程加载机制去调用互联网上的资源,其中被调用的资源必须恶意满足域名格式为clientweb.docer.wps.cn.{xxxxx}wps.cn,其中{xxx}是什么都行,然后通过修改docx的某项配置文件中的特定属性,让docx打开时去调用相关文件并加载其中的恶意代码

4)漏洞复现

参看:https://www.bilibili.com/video/BV1Xp4y1u7xH/

相关推荐
Excel_easy15 小时前
批量识别工作表中二维码信息-Excel易用宝
excel·wps
摸鱼也很难19 小时前
RCE 命令执行漏洞 && 过滤模式 && 基本的过滤问题 && 联合ctf题目进行实践
漏洞·ctf·ctfshow·rce命令执行
日日行不惧千万里1 天前
WPS工具栏灰色怎么办
wps
青涩小鱼1 天前
WPS如何快速将数字金额批量转换成中文大写金额,其实非常简单
wps
Hacker_Oldv1 天前
WPS 认证机制
运维·服务器·wps
ZJ_.1 天前
WPSJS:让 WPS 办公与 JavaScript 完美联动
开发语言·前端·javascript·vscode·ecmascript·wps
不吃鱼不吃鱼3 天前
Excel加载项入门:原理、安装卸载流程与常见问题
excel·wps
Excel_easy3 天前
批量生成二维码,助力数字化管理-Excel易用宝
excel·wps
脑瓜凉3 天前
WPS怎么都无法删除空白页_插入空白页一次插入两张?_插入横屏空白页_横屏摆放图片_这样解决_显示隐藏段落标记---WPS工作笔记001
wps·wps删除空白页·wps无法删除空白页·wps怎么都删除不掉空白页·wps插入横向页·wps删除分页符
不坑老师3 天前
不坑盒子2024.1218更新了,模板库上线、一键添加拼音、一键翻译……支持Word、Excel、PPT、WPS
microsoft·word·powerpoint·excel·wps