WPS office 最新未公开 0Day漏洞警示

一、事件描述

近日，网传监测发现WPS Office for Windows版本 存在0day漏洞，攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件，高危级别，官方尚未对此发布修复漏洞，目前建议只能临时弃用wps或者不要点开未知文件，尤其在线网络文件，中招概率极大。

危险级别：高危

网传影响范围：

WPS Office 2023个人版<11.1.0.15120
WPS Office 2019企业版<11.8.2.12085

实际测试影响范围：包括最新版

二、漏洞描述及防护建议

WPS Office 含有未公开远程命令执行漏洞，攻击者可利用进行在野攻击。攻击者可利用该漏洞生成恶意文档，受害者只需打开文档，无需其他任何操作，即可执行恶意代码，进而完全控制主机。经过紧急分析，该漏洞影响最新版 WPS Office，受影响的终端可能超过百万，目前官 方尚未修复，属于在野 0day 状态。该漏洞配合钓鱼等场景危害极大。

1）词汇解释：

0day 漏洞（Zero-Day Vulnerability），又称零时漏洞，是指针对某个软件或系统，攻击者发现并利用该软件或系统中已知的但是未被修补的安全漏洞，使得攻击者可以利用这些漏洞进行攻击或者渗透攻击，从而在用户毫不知情的情况下，控制或者篡改受攻击设备或系统的信息。这些漏洞通常由黑客或其他攻击者在软件或系统发布之前或者之后的短时间内就被发现，也就是所谓的“零日”。0day 漏洞可以由黑客或攻击者利用来攻击他们的目标，可以通过不同的方式来实现，例如，攻击者可以利用远程漏洞攻击，通过恶意的网络链接或 e-mail 附件来攻击目标，或者利用本地漏洞攻击，在目标系统上安装木马程序或其他恶意程序。0day 漏洞最容易受到攻击的是软件，因为软件的代码和系统结构更容易受到攻击。

由于 0day 漏洞在软件或系统发布之前或短时间内被攻击者发现，因此开发者或厂商没有足够的时间对漏洞进行修复，从而给攻击者提供了攻击的机会。0day 漏洞是未被公开的安全漏洞，因此很难被发现和利用。但一旦被攻击者利用 0day 漏洞攻击，那受害者一般是没有足够的安全措施来防御这些攻击的，因此 0day 漏洞攻击的成功率非常高，且受影响面一般都较大。因此，0day 漏洞是一种非常危险的安全漏洞，对于软件开发者和厂商来说，0day 漏洞是一种严重的安全威胁。一旦被攻击者发现，就会导致数据泄露、系统瘫痪等安全问题。

2）防护建议：

1、使用如下 IOC 进行检测:

http://39.105.138.249/wpsauth
http://39.105.138.249/qingbangong.json
http://39.105.138.249/chuangkit.json
http://39.105.138.249/tutorial.html
http://39.105.138.249/symsrv.dll
http://39.105.138.249/EqnEdit.exe
123.57.150.145/tutorial.html
123.57.150.145/qingbangong.json
123.57.150.145/chuangkit.json
182.92.111.169/tutorial.html
39.105.128.11/tutorial.html
123.57.129.70:443
123.57.129.70:80
safetyitsm.s3-us-east-1.ossfiles.com hbf3heeztt3rrwgmccao.oss-cn-shenzhen.aliyuncs.com 76z1xwz6mp5fq7qi4telphdn0c0.oss-cn-shenzhen.aliyuncs.com 123.56.0.10:80
182.92.111.169:80
182.92.165.230:443 6e8t0xobdnmerpraecktu1bge1kmo1cs.oss-cn-shenzhen.aliyuncs.com a9ptecut5z3vv7w1o489z.oss-cn-shenzhen.aliyuncs.com

2、建议内部进行钓鱼风险提醒，不要点击来源不明的文件，尤其未知来源的PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX文档。请勿轻易点击文档中的URL链接或带有URL超级链接的图片或视频等，包括pdf文档中的URL链接或超级链接。如条件允许，建议通过终端管理系统暂时禁用或删除WPS软件。另打开防护软件的恶意地址扫描。

3）漏洞原理

通过wps文件的某种远程加载机制去调用互联网上的资源，其中被调用的资源必须恶意满足域名格式为clientweb.docer.wps.cn.{xxxxx}wps.cn，其中{xxx}是什么都行，然后通过修改docx的某项配置文件中的特定属性，让docx打开时去调用相关文件并加载其中的恶意代码

4）漏洞复现

参看：https://www.bilibili.com/video/BV1Xp4y1u7xH/