Der IT-Sicherheitsanbieter ESET hat zwei Sicherheitslücken in der Microsoft-Office-Alternative WPS Office für Windows entdeckt. Die Schwachstelle CVE-2024-7262 in der Office-Anwendung ermöglichte es der Hackergruppe APT-C-60, mit Hilfe eines Exploits Fremdcode auf den Geräten ihrer Opfer auszuführen.
Der Gruppe werden Verbindungen nach Südkorea zugeschrieben. Nach aktuellem Stand waren nur Nutzer in ostasiatischen Ländern betroffen. In China nutzten die Hacker einen Exploit, um Geräte mit Malware zu infizieren. Die zweite Lücke, CVE-2024-7263, wurde wahrscheinlich bisher nicht aktiv ausgenutzt.
Beide Schwachstellen existierten seit August 2023 und wurden im Mai dieses Jahres von Kingsoft, dem Unternehmen hinter WPS Office, geschlossen.
„Weltweit nutzen ungefähr 500 Millionen Menschen WPS Office. Das macht sie zu einem hervorragenden Ziel für Cyberkriminelle, um eine möglichst hohe Anzahl potenzieller Opfer zu erreichen, insbesondere im ostasiatischen Raum“, sagt ESET-Forscher Romain Dumont, der die Schwachstellen analysiert hat.
So hinterhältig ging die Hackergruppe vor
Am Anfang einer Attacke steht ein Tabellendokument, das vom bekannten XLS- ins exotischere MHTML- exportiert wurde. In dieser Tabelle ist ein spezieller Hyperlink versteckt: Die Hacker integrierten ein Bild von Zeilen und Spalten der Nutzeroberfläche und fügten es nahtlos in das Dokument ein. Das Bild enthielt einen Hyperlink, der bei einem Klick eine beliebige Programmbibliothek ausführt.
Zeitgleich kam den Angreifern die Wahl eines eher unkonventionellen Dateiformats zugute: MHTML erlaubt, beim Öffnen einer solchen Datei sofort weitere Daten herunterzuladen und zu speichern. Das bedeutet: Sobald der Nutzer die schadhafte Datei mit WPS Office öffnet, speichert er unwissentlich eine Programmbibliothek auf seinem Computer. Klickt er dann auf das Bild, das in Wahrheit den Hyperlink enthält, führt das Gerät die Programmbibliothek aus. Diese ermöglicht dann die Ausführung weiterer Programme, beispielsweise Malware.
„Die Hackergruppe ist äußerst akribisch vorgegangen. Unabhängig davon, ob die Gruppe den Exploit für CVE-2024-7262 entwickelt oder gekauft hat: In jedem Fall war ein gewisses Maß an Recherche über die Funktionsweise der Anwendung genauso erforderlich wie detailliertes Wissen über den Windows-Ladeprozess“, ergänzt Dumont.
Was ist WPS Office?
WPS Office ist ein Office-Paket, das für verschiedene Betriebssysteme verfügbar ist, darunter Microsoft Windows, Apple iOS, MacOS und Android. Das chinesische Unternehmen Kingsoft Corporation entwickelt und vertreibt die Lösung. Die Anwendung hat circa 500 Millionen Nutzer weltweit und bietet verschiedene Funktionen wie ein Programm zur Textbearbeitung, Tabellenkalkulation und Präsentationserstellung.
ESET rät Benutzern von WPS Office für Windows dringend, ihre Software auf die neueste Version zu aktualisieren.
(lb/ESET)