ChatGPT hat mehr als 200 Millionen Nutzer Bild: ChatGPT hat mehr als 200 Millionen Nutzer
EXPORT today online - 35/2024
Nutzung von generativer Künstlicher Intelligenz wächst rasch Bild: Nutzung von generativer Künstlicher Intelligenz wächst rasch
Teuerung im August bei 2,4 % - Weiter über Eurozonen-Schnitt Bild: Teuerung im August bei 2,4 % - Weiter über Eurozonen-Schnitt
Parteien haben sehr unterschiedliche Vorstellungen zur KöSt Bild: Parteien haben sehr unterschiedliche Vorstellungen zur KöSt
NEW BUSINESS Export - NB EXPORT 1/2024
Streik bei Fluggesellschaft Discover auch am Wochenende Bild: Streik bei Fluggesellschaft Discover auch am Wochenende
Deutsche Inflation sank erstmals seit 2021 unter 2 Prozent Bild: Deutsche Inflation sank erstmals seit 2021 unter 2 Prozent
WKÖ sieht Klimapolitik als Bremsklotz für die Industrie Bild: WKÖ sieht Klimapolitik als Bremsklotz für die Industrie
NEW BUSINESS Guides - AUTOMATION GUIDE 2024
Schönheit, Tiere, Tattoos: Konsumausgaben verändert Bild: Schönheit, Tiere, Tattoos: Konsumausgaben verändert
15 Mio. Euro Kartellstrafe für Peugeot Austria Bild: 15 Mio. Euro Kartellstrafe für Peugeot Austria
Sie befinden sich hier:  Home  |  Schwachstelle in WPS Office ausgenutzt

Schwachstelle in WPS Office ausgenutzt

29. August 2024
Nutzer in Ostasien werden Opfer raffinierter Cyberattacke © Elchinator/Pixabay

Eine Hackergruppe nutzt eine Schwachstelle in der Microsoft Office-Alternative WPS Office aus. Die Lücke wurde bereits geschlossen und betraf vor allem Nutzer in Ostasien.

Forscher des europäischen IT-Sicherheitsanbieters ESET haben zwei Sicherheitslücken in der Microsoft Office-Alternative WPS Office für Windows entdeckt. WPS Office ist ein Office-Paket, das für verschiedene Betriebssysteme verfügbar ist, darunter Microsoft Windows, Apple iOS, MacOS und Android. Das chinesische Unternehmen Kingsoft Corporation entwickelt und vertreibt die Lösung. Die Anwendung bietet verschiedene Funktionen wie ein Programm zur Textbearbeitung, Tabellenkalkulation und Präsentationserstellung.

Die Schwachstelle CVE-2024-7262 in der Office-Anwendung ermöglichte es der Hackergruppe APT-C-60, mit Hilfe eines Exploits Fremdcode auf den Geräten ihrer Opfer auszuführen. Der Gruppe werden Verbindungen nach Südkorea zugeschrieben. Nach aktuellem Stand waren nur Nutzer in ostasiatischen Ländern betroffen. In China nutzten die Hacker einen Exploit, um Geräte mit Malware zu infizieren. Die zweite Lücke, CVE-2024-7263, wurde wahrscheinlich bisher nicht aktiv ausgenutzt. 

Beide Schwachstellen existierten seit August 2023 und wurden im Mai dieses Jahres von Kingsoft geschlossen.

"Weltweit nutzen ungefähr 500 Millionen Menschen WPS Office. Das macht sie zu einem hervorragenden Ziel für Cyberkriminelle, um eine möglichst hohe Anzahl potenzieller Opfer zu erreichen, insbesondere im ostasiatischen Raum", sagt ESET-Forscher Romain Dumont, der die Schwachstellen analysiert hat.

Tarnen, täuschen und tricksen: So hinterhältig ging die Hackergruppe vor
Am Anfang einer Attacke steht ein Tabellendokument, das vom bekannten XLS- ins exotischere MHTML- exportiert wurde. In dieser Tabelle ist ein spezieller Hyperlink versteckt: Die Hacker integrierten ein Bild von Zeilen und Spalten der Nutzeroberfläche und fügten es nahtlos in das Dokument ein. Das Bild enthielt einen Hyperlink, der bei einem Klick eine beliebige Programmbibliothek ausführt.

Zeitgleich kam den Angreifern die Wahl eines eher unkonventionellen Dateiformats zugute: MHTML erlaubt, beim Öffnen einer solchen Datei sofort weitere Daten herunterzuladen und zu speichern. Das bedeutet: Sobald der Nutzer die schadhafte Datei mit WPS Office öffnet, speichert er unwissentlich eine Programmbibliothek auf seinem Computer. Klickt er dann auf das Bild, das in Wahrheit den Hyperlink enthält, führt das Gerät die Programmbibliothek aus. Diese ermöglicht dann die Ausführung weiterer Programme, beispielsweise Malware. 

"Die Hackergruppe ist äußerst akribisch vorgegangen. Unabhängig davon, ob die Gruppe den Exploit für CVE-2024-7262 entwickelt oder gekauft hat: In jedem Fall war ein gewisses Maß an Recherche über die Funktionsweise der Anwendung genauso erforderlich wie detailliertes Wissen über den Windows-Ladeprozess", ergänzt Dumont.

ESET rät Benutzern von WPS Office für Windows dringend, ihre Software auf die neueste Version zu aktualisieren. Weitere Informationen dazu gibt es im Blogpost "Achtung, Schwachstelle! Hackergruppe greift Nutzer in Ostasien an" auf Welivesecurity.com. (red.)