WPS Office作為一款用戶基數(shù)超過2億的廣泛使用的辦公套件，被發(fā)現(xiàn)存在兩個關(guān)鍵漏洞（CVE-2024-7262和CVE-2024-7263），這些漏洞可能導(dǎo)致用戶遭受遠(yuǎn)程代碼執(zhí)行攻擊。這兩個漏洞的CVSS評分為9.3，表明它們的嚴(yán)重性很高，且易于被利用。其中CVE-2024-7262已經(jīng)被武器化，ESET的安全研究人員發(fā)現(xiàn)它正在野外被積極利用。但也有圈內(nèi)小道消息稱，該漏洞只會影響國際版，國內(nèi)版本不受影響。

漏洞位置

這兩個漏洞都存在于WPS Office的`promecefpluginhost.exe`組件中。

• CVE-2024-7262影響版本為12.2.0.13110至12.2.0.13489。
• CVE-2024-7263影響版本為12.2.0.13110至12.2.0.17153（不包括17153）。

漏洞原因

兩個漏洞都源于不恰當(dāng)?shù)穆窂津?yàn)證，使攻擊者能夠加載并執(zhí)行任意的Windows庫文件。

CVE-2024-7262：

該漏洞存在于`promecefpluginhost.exe`進(jìn)程如何驗(yàn)證文件路徑的方式中。攻擊者只需誘騙用戶打開一個欺騙性的電子表格文檔，即可加載惡意的Windows庫文件。

這種“單擊即中”的漏洞允許攻擊者在受害者的機(jī)器上執(zhí)行任意代碼，可能導(dǎo)致數(shù)據(jù)盜竊、勒索軟件攻擊或進(jìn)一步的系統(tǒng)破壞。

CVE-2024-7263：

為了解決CVE-2024-7262，金山軟件發(fā)布了版本12.2.0.16909的補(bǔ)丁。但研究人員很快發(fā)現(xiàn)這個補(bǔ)丁并不充分。

CVE-2024-7263利用了一個在原始修復(fù)中被忽略的未正確消毒的參數(shù)。這個疏忽使攻擊者能夠再次加載任意的Windows庫文件，繞過了金山軟件最初實(shí)施的安全措施。

武器化與利用

特別令人擔(dān)憂的是，CVE-2024-7262已經(jīng)被武器化。ESET的安全研究人員發(fā)現(xiàn)它正在野外被積極利用，惡意行為者正在分發(fā)旨在觸發(fā)該漏洞的欺騙性電子表格文檔。

風(fēng)險(xiǎn)緩解措施

鑒于這些漏洞的嚴(yán)重性以及CVE-2024-7262已被確認(rèn)的活躍利用，所有WPS Office用戶必須盡快將軟件更新到最新可用版本（12.2.0.17153或更高版本）。此外，建議用戶采取以下額外安全措施：

• 不要隨意打開來源不明的文件：特別是電子表格、文檔和其他可能包含惡意代碼的文件。
• 啟用防火墻和反病毒軟件：確保這些安全工具處于最新狀態(tài)，并定期掃描系統(tǒng)以檢測和清除潛在威脅。
• 保持警惕：關(guān)注WPS Office和其他常用軟件的安全公告，及時應(yīng)用補(bǔ)丁和更新。

參考來源：https://securityonline.info/wps-office-vulnerabilities-expose-200-million-users-cve-2024-7262-exploited-in-the-wild/