CVE-2024-7262

Kingsoft WPS Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-09-03

Официальное описание

Kingsoft WPS Office contains a path traversal vulnerability in promecefpluginhost.exe on Windows that allows an attacker to load an arbitrary Windows library.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-7262 представляет собой критическую уязвимость типа Path Traversal (обход пути) в компоненте promecefpluginhost.exe офисного пакета Kingsoft WPS Office для Windows.

Проблема заключается в недостаточной валидации путей при обработке кастомных протоколов. Злоумышленник может сформировать специальную ссылку (например, через гиперссылку в документе), которая при нажатии заставит приложение выйти за пределы доверенной директории и загрузить произвольную динамическую библиотеку (DLL) с подконтрольного атакующему ресурса или локального пути. Это приводит к удаленному выполнению произвольного кода (RCE) в контексте текущего пользователя.

Как исправить

Основным и наиболее надежным способом устранения уязвимости является обновление программного обеспечения до актуальной версии, в которой исправлена логика обработки путей.

  1. Загрузите последнюю версию инсталлятора с официального сайта производителя или через внутренний репозиторий обновлений вашей организации.
  2. Установите версию 12.1.0.17119 или выше.
  3. Для проверки текущей версии в системе через PowerShell используйте команду:
get-itemproperty "HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*" | where-object { $_.DisplayName -like "*WPS Office*" } | select-object DisplayName, DisplayVersion

Временные меры

Если немедленное обновление невозможно, необходимо применить меры по снижению рисков (Mitigation), чтобы ограничить вектор атаки.

  1. Заблокируйте запуск процесса promecefpluginhost.exe, если функционал встроенного браузера и плагинов не является критически важным для бизнес-процессов:
New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\promecefpluginhost.exe" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\promecefpluginhost.exe" -Name "Debugger" -Value "systray.exe"

  1. Настройте правила Windows Defender Application Control (WDAC) или AppLocker для запрета загрузки неподписанных DLL или библиотек из сетевых папок и временных директорий пользователя.

  2. Ограничьте исходящий трафик по протоколам SMB (порт 445) для рабочих станций во внешние сети, чтобы предотвратить загрузку вредоносных библиотек с удаленных серверов атакующего.

  3. Проведите инструктаж сотрудников о недопустимости перехода по подозрительным гиперссылкам внутри документов, полученных из недоверенных источников.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей