WPS Office远程代码执行漏洞(CVE-2022-24934)

0#前言
说到底,事件才是网络安全的第一驱动力
没有事件,即便是超危漏洞也无人问津

1#漏洞描述
WPS Office是由北京金山办公软件股份有限公司自主研发的一款办公软件套装,可以实现办公软件最常用的文字、表格、演示,PDF阅读等多种功能。具有内存占用低、运行速度快、云功能多、强大插件平台支持、免费提供在线存储空间及文档模板的优点。

北京时间2022年02月10日,在cve.mitre.org公布了WPS Office的远程代码执行漏洞信息。团队在第一时间就给予了关注和追踪。
北京时间2022年03月24日,许多安全团队发现一则该漏洞在野利用信息,从而导致该漏洞讯息在圈子中快速开始传播、扩散。
这种情况,正好印证了笔者的前言。

2#影响版本
WPS Office through <= 11.2.0.10382

3#漏洞细节
漏洞编号:CVE-2022-24934
漏洞类型:远程代码执行
漏洞级别:高危,能造成远程代码执行

攻击者通过各种手段(包括社会工程学)发送利用该漏洞的的WPS Office更新包,其中wpsupdate.exe是 WPS Office 安装包的一部分,wpsupdate.exe允许攻击者使用更新程序与攻击者控制的服务器进行通信,并且可以修改注册表中的 HKEY_CURRENT_USER 来远程执行代码,实现在受害者的系统上执行命令,包括下载和运行任意可执行文件。
注意:漏洞的重点在于“11.2.0.10382版本之前的wpsupdater.exe允许通过修改注册表中的HKEY_CURRENT_USER来远程执行代码”,从而进行持久化控制、提权的技术。

4#漏洞修复
查看WPS Office版本,若WPS版本号小于等于11.2.0.10382,则存在安全隐患。
WPS Office官方已经修复该漏洞,请尽快升级到最新版本

参考链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24934
https://decoded.avast.io/luigicamastra/operation-dragon-castling-apt-group-targeting-betting-companies/
本博客所有文章如无特别注明均为原创。作者:渊龙Sec团队复制或转载请以超链接形式注明转自 渊龙Sec团队博客
原文地址《WPS Office远程代码执行漏洞(CVE-2022-24934)
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)