WPS Office Vulnerabilities Expose 200 Million Users: CVE-2024-7262 Exploited in the Wild
2024/08/16 SecurityOnline — 2億人以上のユーザーを抱える人気のオフィス・スイート WPS Office に、2つのリモート・コード実行の脆弱性 CVE-2024-7262/CVE-2024-7263 (CVSS:9.3) が発見された。これらの脆弱性は、WPS Office の promecefpluginhost.exe コンポーネントで発見されたものであり、CVE-2024-7262 は WPS Office 12.2.0.13110〜12.2.0.13489 に対して、CVE-2024-7263 は 12.2.0.13110〜12.2.0.17153 に対して、影響を及ぼす。
脆弱性の技術的分析
いずれの脆弱性も不適切なパス検証に起因するものであり、悪用に成功した攻撃者は、任意の Windows ライブラリをロードして実行する可能性を手にする。
- CVE-2024-7262:この欠陥は、promecefpluginhost.exe プロセスがファイルパスを検証する方法に起因するものであり、攻撃者がユーザーを騙して偽のスプレッドシート・ドキュメントを開かせるだけで、悪意の Windows ライブラリのロードが可能になるという。この被害者のマシン上でのシングル・クリックのアクションにより、攻撃者は任意のコード実行を達成するため、データ窃盗/ランサムウェアに加えて、さらなるシステム侵害などの可能性が生じる。
- CVE-2024-7263:Kingsoft は、CVE-2024-7262 に対処するため、バージョン12.2.0.16909 でパッチをリリースした。しかし、このパッチが十分でないことが、すぐに発覚した。この CVE-2024-7263 は、12.2.0.17153 未満のバージョンに影響を及ぼすものであり、最初の修正で見落とされた、不適切にサニタイズされたパラメータの悪用を許す脆弱性である。この見落としを悪用する攻撃者は、Kingsoft により実装された最初のセキュリティ対策をバイパスし、任意の Windows ライブラリの再ロードを可能にする。
武器化と悪用
これらの脆弱性の存在が、きわめて懸念されるのは、すでに CVE-2024-7262 が兵器化されているという事実による。この脆弱性を悪用するように設計された偽のスプレッドシートが、攻撃者たちにより配布されていることが、ESET のセキュリティ研究者により確認されている。
リスクの軽減
脆弱性 CVE-2024-7262 の、積極的な悪用が確認されていることから、これらの脆弱性の重大性が懸念されている。すべての WPS Office ユーザーにとって必要なことは、すでに提供されている最新バージョン (12.2.0.17153 以降) へと、可能な限り早急にアップデートすることだ。
WPS Office に脆弱性とのことです。ユーザー数が2億人とされていますが、中国内のユーザー数が分かると、その他の地域への影響も見えてきますね。日本語の Web も充実しているので、国内のユーザー数も多いのかと思います。ご利用のチームは、十分に ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.