Hackergruppe, Schwachstelle

Hackergruppe nutzt Schwachstelle in Microsoft-Office-Alternative WPS Office aus

29.08.2024 - 14:00:00

Jena - Forscher des europĂ€ischen IT-Sicherheitsanbieters ESET haben zwei SicherheitslĂŒcken in der Microsoft-Office-Alternative WPS Office fĂŒr Windows entdeckt. Die Schwachstelle CVE-2024-7262 in der Office-Anwendung ermöglichte es der Hackergruppe APT-C-60, mit Hilfe eines Exploits Fremdcode auf den GerĂ€ten ihrer Opfer auszufĂŒhren. Der Gruppe werden Verbindungen nach SĂŒdkorea zugeschrieben. Nach aktuellem Stand waren nur Nutzer in ostasiatischen LĂ€ndern betroffen. In China nutzten die Hacker einen Exploit, um GerĂ€te mit Malware zu infizieren. Die zweite LĂŒcke, CVE-2024-7263, wurde wahrscheinlich bisher nicht aktiv ausgenutzt.

Beide Schwachstellen existierten seit August 2023 und wurden im Mai dieses Jahres von Kingsoft, dem Unternehmen hinter WPS Office, geschlossen.

"Weltweit nutzen ungefĂ€hr 500 Millionen Menschen WPS Office. Das macht sie zu einem hervorragenden Ziel fĂŒr Cyberkriminelle, um eine möglichst hohe Anzahl potenzieller Opfer zu erreichen, insbesondere im ostasiatischen Raum", sagt ESET-Forscher Romain Dumont, der die Schwachstellen analysiert hat.

Tarnen, tÀuschen und tricksen: So hinterhÀltig ging die Hackergruppe vor

Am Anfang einer Attacke steht ein Tabellendokument, das vom bekannten XLS- ins exotischere MHTML- exportiert wurde. In dieser Tabelle ist ein spezieller Hyperlink versteckt: Die Hacker integrierten ein Bild von Zeilen und Spalten der NutzeroberflĂ€che und fĂŒgten es nahtlos in das Dokument ein. Das Bild enthielt einen Hyperlink, der bei einem Klick eine beliebige Programmbibliothek ausfĂŒhrt.

Zeitgleich kam den Angreifern die Wahl eines eher unkonventionellen Dateiformats zugute: MHTML erlaubt, beim Öffnen einer solchen Datei sofort weitere Daten herunterzuladen und zu speichern. Das bedeutet: Sobald der Nutzer die schadhafte Datei mit WPS Office öffnet, speichert er unwissentlich eine Programmbibliothek auf seinem Computer. Klickt er dann auf das Bild, das in Wahrheit den Hyperlink enthĂ€lt, fĂŒhrt das GerĂ€t die Programmbibliothek aus. Diese ermöglicht dann die AusfĂŒhrung weiterer Programme, beispielsweise Malware.

"Die Hackergruppe ist Ă€ußerst akribisch vorgegangen. UnabhĂ€ngig davon, ob die Gruppe den Exploit fĂŒr CVE-2024-7262 entwickelt oder gekauft hat: In jedem Fall war ein gewisses Maß an Recherche ĂŒber die Funktionsweise der Anwendung genauso erforderlich wie detailliertes Wissen ĂŒber den Windows-Ladeprozess", ergĂ€nzt Dumont.

Über WPS Office WPS Office ist ein Office-Paket, das fĂŒr verschiedene Betriebssysteme verfĂŒgbar ist, darunter Microsoft Windows, Apple iOS, MacOS und Android. Das chinesische Unternehmen Kingsoft Corporation entwickelt und vertreibt die Lösung. Die Anwendung hat circa 500 Millionen Nutzer weltweit und bietet verschiedene Funktionen wie ein Programm zur Textbearbeitung, Tabellenkalkulation und PrĂ€sentationserstellung.

ESET rĂ€t Benutzern von WPS Office fĂŒr Windows dringend, ihre Software auf die neueste Version zu aktualisieren. Weitere Informationen dazu gibt es im Blogpost "Achtung, Schwachstelle! Hackergruppe greift Nutzer in Ostasien an ( https://www.welivesecurity.com/de/eset-research/achtung-schwachstelle-hackergruppe-greift-nutzer-in-ostasien-an/ )" auf welivesecurity.com.

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de

@ pressetext.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.