image

VS meldt actief misbruik van kritiek path traversal-lek in WPS Office

woensdag 4 september 2024, 09:23 door Redactie, 6 reacties

Aanvallers maken actief misbruik van een kritieke path traversal-kwetsbaarheid in Kingsoft WPS Office, waardoor een aanvaller malafide code op het systeem van de gebruiker kan uitvoeren. Alleen het openen van een malafide document met een kwetsbare versie is hiervoor voldoende.

Vorige week waarschuwde antivirusbedrijf ESET al voor misbruik van het beveiligingslek, aangeduid als CVE-2024-7262. Dat vond plaats voordat een beveiligingsupdate beschikbaar was. Ontwikkelaar Kingsoft kwam volgens ESET in maart met een patch die het probleem 'stilletjes' had moeten verhelpen, maar die bood geen volledige oplossing, waardoor de kwetsbare code nog steeds was te misbruiken. Vervolgens kwam de ontwikkelaar met een tweede update om de kwetsbaarheid echt op te lossen.

WPS Office is vooral in Azië zeer populaire kantoorsoftware, vergelijkbaar met Microsoft Office. Volgens ESET liet ontwikkelaar Kingsoft weten dat het geen interesse had om klanten te waarschuwen dat aanvallers actief misbruik maken van CVE-2024-7262, waarop de virusbestrijder naar eigen zeggen met een blogposting kwam om klanten op die manier te waarschuwen. Op de website van WPS Office is geen enkele melding over het CVE-nummer te vinden.

Nu waarschuwt ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat aanvallers actief misbruik van de kwetsbaarheid maken. Het cyberagentschap heeft Amerikaanse overheidsinstanties die met de software werken opgedragen de update voor 24 september te installeren. Kingsoft claimt dat WPS Office meer dan tweehonderd miljoen gebruikers heeft.

Reacties (6)
04-09-2024, 09:56 door Anoniem
Volgens de CVE is dit alleen (exclusive) on Windows ! Wel typisch weer. Tweehonderd miljoen gebruikers is een aardig aantal maar ik denk dat de meeste gebruikers op Android en iOS zitten. Misschien dat ze daarom de klanten niet hebben gewaarschuwd.
04-09-2024, 11:16 door Anoniem
Door Anoniem: Volgens de CVE is dit alleen (exclusive) on Windows ! Wel typisch weer. Tweehonderd miljoen gebruikers is een aardig aantal maar ik denk dat de meeste gebruikers op Android en iOS zitten. Misschien dat ze daarom de klanten niet hebben gewaarschuwd.
Staat op de website, 'Required Action: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.' Lijkt me dat het verder gaat dan Windows alleen.
04-09-2024, 11:43 door Anoniem
Alleen het openen van een malafide document met een kwetsbare versie is hiervoor voldoende.
naast driveby download infectie het beruchte windows syndroom
Door Anoniem:
Door Anoniem: Volgens de CVE is dit alleen (exclusive) on Windows ! Wel typisch weer. Tweehonderd miljoen gebruikers is een aardig aantal maar ik denk dat de meeste gebruikers op Android en iOS zitten. Misschien dat ze daarom de klanten niet hebben gewaarschuwd.
Staat op de website, 'Required Action: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.' Lijkt me dat het verder gaat dan Windows alleen.
Nee gaat alleen over windows. Zie platform: https://www.cve.org/CVERecord?id=CVE-2024-7262
04-09-2024, 14:57 door karma4
Door Anoniem: Nee gaat alleen over windows. Zie platform: https://www.cve.org/CVERecord?id=CVE-2024-7262
Krijg daar toch een ander beeld bij met https://nvd.nist.gov/vuln/detail/CVE-2024-35205 Hoger nummer later gemeld weer dat traversal probleem
04-09-2024, 17:50 door Anoniem
Door Anoniem: Volgens de CVE is dit alleen (exclusive) on Windows ! Wel typisch weer.
Dat het op Windows is hoeft niet te betekenen dat het aan Windows ligt. Elke applicatie die op meerdere besturingssystemen draait heeft onderdelen die per besturingssysteem anders geïmplementeerd moeten worden, en dan kan het altijd gebeuren dat een bug in de applicatie zelf zit in een stukje code voor een specifiek besturingssysteem.

Als deze fout in Windows had gezeten had je hetzelfde probleem meteen bij heel veel applicaties gehad en had Microsoft met een reparatie moeten komen. Het lijkt erop dat dat niet is wat er aan de hand is.

Als het in WPS Office op Windows optreedt en verder niet dan zit het in Windows-specifieke code in WPS Office (ik verwacht althans niet dat er WPS-specifieke code in Windows zit). Dat is dan geen code van Windows maar code van WPS Office voor Windows.
04-09-2024, 20:00 door Anoniem
Door karma4:
Door Anoniem: Nee gaat alleen over windows. Zie platform: https://www.cve.org/CVERecord?id=CVE-2024-7262
Krijg daar toch een ander beeld bij met https://nvd.nist.gov/vuln/detail/CVE-2024-35205 Hoger nummer later gemeld weer dat traversal probleem
Dat is een andere CVE. Het komt nogal vaak voor zegt men: https://www.cisa.gov/news-events/alerts/2024/09/03/cisa-adds-three-known-exploited-vulnerabilities-catalog
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.