Trusted Design

CVE-2024-7262 の詳細

CVEの情報

説明:
Improper path validation in promecefpluginhost.exe in Kingsoft WPS Office version ranging from 12.2.0.13110 to 12.2.0.16412 (exclusive) on Windows allows an attacker to load an arbitrary Windows library. The vulnerability was found weaponized as a single-click exploit in the form of a deceptive spreadsheet document

CVE更新日: 2024-08-15 15:15:22.290000

CVSSバージョン: 4.0

CVSSスコア: 9.3

KEVの情報

KEV更新日: 2024-09-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.123620000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: False

AIを使った解説

解説:

CVE-2024-7262に関する脆弱性調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2024-7262は、Kingsoft WPS Office for Windowsに存在する深刻なパス・トラバーサル(CWE-22)の脆弱性です。この脆弱性は、promecefpluginhost.exeコンポーネントにおける不適切なパス検証に起因し、攻撃者が任意のWindowsライブラリをロードすることを可能にします。

1.1 影響

本脆弱性が悪用されると、攻撃者は任意のコード実行(RCE)を達成し、システム全体の侵害、マルウェアのインストール、機密データの窃取、または業務の中断を引き起こす可能性があります。この脆弱性は「シングルクリック」エクスプロイトとして悪用されることが多く、欺瞞的なスプレッドシート文書を介して配信されます。

この脆弱性は、韓国に関連するサイバースパイグループAPT-C-60によって活発に悪用されており、東アジア諸国を標的として「SpyGlace」と呼ばれるバックドアを送り込むために利用されています。

1.2 深刻度

  • CVSS v4.0基本スコア: 9.3 (CRITICAL)
  • CVSS v3.1基本スコア: 7.8 (HIGH)
  • この脆弱性はCISAの「Known Exploited Vulnerabilities (KEV) Catalog」に登録されており、実環境での活発な悪用が確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

  • Windows

2.2 影響を受ける設定

Kingsoft WPS Officeの以下のバージョンが影響を受けます。

  • 12.2.0.13110 から 12.2.0.16412 (排他的)
    • これは、バージョン12.2.0.13110を含み、12.2.0.16412を含まない範囲のバージョンが脆弱であることを意味します。

3. 影響を受けた時の兆候

以下の兆候が確認される場合があります。

  • promecefpluginhost.exeによって、予期しないディレクトリに、予期しないまたは新しく作成された動的リンクライブラリ(DLL)が存在する。
  • WPS Officeまたはpromecefpluginhost.exeによって、異常な子プロセスが生成される。
  • WPS Officeまたはその子プロセスから、馴染みのない外部IPアドレスやドメインへの予期しないネットワーク接続がある。
  • ESETは、APT-C-60攻撃に関連する具体的な侵害の痕跡(IoC)も提供しています。

4. 推奨対策

4.1 本対策

  • Kingsoft WPS Officeをバージョン12.2.0.16412以降に直ちにアップデートしてください。
  • Kingsoftは既にこの脆弱性に対処するセキュリティアップデートをリリースしています。
  • ベンダーのアドバイザリ(WPS Product Updateページ)で最新情報を確認してください。

4.2 暫定回避策(緩和策)

  • パッチが適用されるまで、信頼できないスプレッドシート文書の実行をブロックしてください。
  • 不正なDLLのロードを防ぐため、アプリケーションホワイトリスティングを実装してください。
  • 不明なソースからのスプレッドシート文書を開くリスクについて、ユーザーを教育してください。
  • promecefpluginhost.exeコンポーネントを一時的に無効にすることを検討してください。
  • 悪用リスクを最小限に抑えるため、脆弱なモジュールへのアクセスを制限してください。
  • 悪意のあるスプレッドシートを使用しないようにしてください。

5. 他に解説すべき観点

  • 脆弱性の種類 (CWE): CWE-22 (Improper Limitation of a Pathname to a Restricted Directory - パス・トラバーサル)
  • 攻撃手法: この脆弱性は、悪意のあるMHTML形式のスプレッドシート文書内に埋め込まれた、巧妙に細工されたハイパーリンクをユーザーがクリックすることで悪用されます。ドキュメントを開いた際に悪意のあるライブラリが自動的にダウンロードされ、クリックによって実行されます。
  • 攻撃者グループ: 韓国に関連するサイバースパイグループであるAPT-C-60が、東アジア諸国を標的としてこのゼロデイ脆弱性を悪用していることが確認されています。
  • 関連する別の脆弱性: CVE-2024-7262の修正パッチをESETの研究者が分析した結果、不適切な入力検証に起因する別のコード実行脆弱性(CVE-2024-7263)が発見されました。Kingsoftは両方の脆弱性に対応するパッチをリリースしています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る