ESET, temel nedeni incelerken hatalı koddan (CVE-2924-7263) yararlanmanın başka bir yolunu daha keşfetti. Koordineli bir ifşa sürecinin ardından, her iki güvenlik açığı da yamalandı. APT-C-60 saldırısındaki son yükün ESET Research’ün dahili olarak SpyGlace adını verdiği siber casusluk yeteneklerine sahip özel bir arka kapı olduğu belirtildi. Güvenlik açıklarını analiz eden ESET araştırmacısı Romain Dumont şu açıklamayı yaptı: “APT-C-60 faaliyetlerini araştırırken grubun birçok indirici bileşeninden birine atıfta bulunan garip bir elektronik tablo belgesi bulduk. WPS Office yazılımının dünya çapında 500 milyondan fazla aktif kullanıcısı var, bu da onu özellikle Doğu Asya bölgesinde önemli sayıda kişiye ulaşmak için iyi bir hedef haline getiriyor.” ESET ve satıcı arasındaki koordineli güvenlik açığı ifşa süreci sırasında, DBAPPSecurity bağımsız olarak silahlandırılmış güvenlik açığının bir analizini yayımladı ve APT-C-60’ın Çin’deki kullanıcılara kötü amaçlı yazılım göndermek için güvenlik açığından yararlandığını doğruladı.

Kötü amaçlı belge, yaygın olarak kullanılan XLS elektronik tablo formatının bir MHTML dışa aktarımı olarak geliyor. Bununla birlikte, WPS Spreadsheet uygulaması kullanılırken tıklandığında rastgele bir kütüphanenin yürütülmesini tetiklemek için tasarlanmış özel olarak hazırlanmış ve gizli bir köprü içerir. Alışılmadık MHTML dosya formatı, belge açılır açılmaz bir dosyanın indirilmesine izin veriyor; bu nedenle, güvenlik açığından yararlanırken bu teknikten yararlanmak uzaktan kod yürütülmesini sağlıyor.

Romain Dumont yaşanan olayı şöyle açıkladı: “Bu güvenlik açığından faydalanmak için bir saldırganın kötü amaçlı bir kütüphaneyi hedef bilgisayarın erişebileceği bir yerde, sistemde ya da uzak bir paylaşımda saklaması ve dosya yolunu önceden bilmesi gerekir. Bu açığı hedef alan istismar geliştiricileri, bunu başarmalarına yardımcı olan birkaç numara biliyorlardı. Elektronik tablo belgesi WPS Spreadsheet uygulaması ile açıldığında uzak kütüphane otomatik olarak indirilir ve diskte saklanır”.

Bu tek tıklamalı bir güvenlik açığı olduğundan istismar geliştiricileri kullanıcıyı kandırmak ve belgenin normal bir elektronik tablo olduğuna ikna etmek için elektronik tablonun satır ve sütunlarının bir resmini içine yerleştirmiştir. Kötü amaçlı köprü resme bağlanmıştır böylece resimdeki bir hücreye tıklandığında istismar tetiklenecektir.

Kingsoft’un sessizce yayımladığı yamayı analiz ettikten sonra Dumont, hatanın düzgün bir şekilde düzeltilmediğini fark etti ve hatalı girdi doğrulaması nedeniyle açıktan yararlanmanın başka bir yolunu keşfetti. ESET Research her iki güvenlik açığını da Kingsoft’a bildirdi ve Kingsoft da bunları kabul ederek yamaladı. İki yüksek önem dereceli CVE girişi oluşturuldu: CVE-2024-7262 ve CVE-2024-7263.

Bu keşif, dikkatli bir yama doğrulama sürecinin ve temel sorunun tam olarak ele alındığından emin olmanın öneminin altını çiziyor. ESET, Windows için WPS Office kullanıcılarına yazılımlarını en son sürüme güncellemelerini şiddetle tavsiye ediyor.