Eset-Forscher haben zwei Sicherheitslücken in WPS Office für Windows entdeckt, wie das Unternehmen in einem Blogpost
ausführt. Die erste Schwachstelle mit dem Kennzeichen CVE-2024-7262 ermöglichte es, mit Hilfe eines Exploits Fremdcode auf infizierten Geräten auszuführen. Ausgenutzt wurde das Leck von der Hackergruppe APT-C-60, die anscheinend aus Südkorea aus agiert. Wie es im Bericht weiter heisst, waren aber nur Nutzer in ostasiatischen Ländern betroffen. Die zweite Lücke, CVE-2024-7263, wurde nach bisherigem Kenntnisstand offenbar nicht aktiv ausgenutzt.
Die Sicherheitslücken bestanden seit dem August letzten Jahres und wurden mittlerweile von
Kingsoft, dem Unternehmen hinter WPS Office, geschlossen. Eset-Forscher Romain Dumont führt aus, dass global rund 500 Millionen Nutzer die Software im Einsatz hätten, was sie zu einem lohnenswerten Ziel für Cyberkriminelle mache.
Der Angriff war besonders raffiniert durchgeführt, weil als Ausgang eine Tabellenkalkulation im MHTML-Format stand. Dieses Format wird zum Speichern ganzer HTML-Seiten verwendet und ermöglicht die Ausführung von Code sowie Programmbibliotheken. Auf besagter Tabellenkalkulation war ein Bild enthalten, welches jedoch getarnt war, da es die Linien und Raster der Tabellenkalkulation imitierte (Siehe Bild in der Galerie). Klickte das Opfer auf das Bild, so wurde aufgrund des MHTML-Formats im Hintergrund unmittelbar der Schadcode ausgeführt – ohne, dass der betroffene User davon etwas mitbekam.
(dok)