WPS出现0day漏洞，请立即升级！

Original 微步情报局微步在线研究响应中心

收录于合集

01 漏洞概况

近日，微步旗下的“X漏洞奖励计划”收录 Windows 平台下 WPS Office 2019个人版、WPS Office 2019企业版的 RCE（远程代码执行）0day 漏洞，微步云沙箱无需更新即可识别该攻击，更新检测引擎后可精准检测该漏洞，微步 TDP 在云沙箱更新规则后捕获到该0day漏洞在野利用。

确认漏洞后，我们第一时间联系到金山办公，并协助修补漏洞。截至本文发布，金山办公官方已发布版本更新，修补该漏洞。

该漏洞利用过程简单且稳定，攻击者可完全控制受害者主机，危害巨大，影响范围较广。我们建议相关政企单位高度重视，并启动漏洞应急流程，尽快升级修复，相关修复建议参考本文处置建议内容。

经分析确认，攻击者给受害者发送一个看似平常，实则精心构建的恶意文档，受害者打开文件后移动鼠标就会自动加载远程脚本，执行恶意代码，攻击者即可完全控制主机。

该漏洞可通过PPS、PPSX、PPT、PPTX、DOC、DOCX、XLS、XLSX等文稿文件触发。

漏洞复现：

WPS Office 是由北京金山办公软件股份有限公司自主研发的一款办公软件套装，可以实现办公软件最常用的文字、表格、演示、PDF 阅读等多种功能，其具有内存占用低、运行速度快、云功能多、强大插件平台支持、免费提供在线存储空间及文档模板的优点。

02 漏洞评估

受影响版本：Windows 平台下 WPS Office 2019 个人版低于11.1.0.12116(含)、Windows 平台下 WPS Office 2019企业版低于11.8.2.11707(含)

公开程度：已发现在野利用

利用条件：无权限要求

交互要求：1 Click

漏洞危害：高危、远程代码执行

03 处置建议

1. 产品检测建议：

微步云沙箱已支持检测相关样本，用户可以将文档上传云沙箱S进行自动化检测。
微步 TDP 开启云沙箱能力即可支持检测及防护该漏洞，无需升级。我们强烈建议相关政企客户开启 TDP 云沙箱检测能力检测利用此漏洞发起攻击的行为。
微步 OneEDR 已支持检测及防护该漏洞。

2. 紧急缓解方案：

尽快排查是否使用 WPS Office 软件，重点排查近期可疑外部邮件，尤其是已经打开的，附件后缀为PPS/PPSX/PPT/PPTX/DOC/DOCX/XLS/XLSX 的邮件。
在升级到已修复该漏洞的官方版本之前，不要打开来源未知的任何文档，尤其是后缀为 PPS/PPSX/PPT/PPTX/DOC/DOCX/XLS/XLSX 的文件。

3. 官方修复方案：

金山办公官方已经发布该漏洞相关修复补丁，我们建议尽快将 WPS 客户端更新至最新版。附金山办公官方提供的更新链接：
https://official-package.wpscdn.cn/wps/download/WPS_Setup_12300.exe

04 时间线

2022.08.01 微步“X漏洞奖励计划”收录漏洞
2022.08.01 微步在线分析确认并向相关厂商报告
2022.08.01 微步TDP产品、S云沙箱、OneEDR 支持检测此漏洞
2022.08.01 微步捕获到漏洞在野利用
2022.08.02 厂商发布修复该漏洞的版本更新
2022.08.03 微步情报局发布漏洞通告

点击下方名片，关注我们

第一时间为您推送最新威胁情报