Aggregator

In the rapidly evolving landscape of cybersecurity, access to high-quality threat intelligence feeds is crucial for detecting and mitigating threats in real time. Not all feeds are created equal, however, and choosing the right one can make a significant difference in your organization’s defense strategy. Let’s explore five key characteristics of good threat intelligence feeds […]

The post 5 Characteristics <br>of Good Threat Intelligence Feeds appeared first on ANY.RUN's Cybersecurity Blog.

漏洞概述

WPS Office程序promecefpluginhost.exe存在不当路径验证问题，允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用，当用户打开MHTML格式的文档时，只需单击一个恶意制作的超链接，即可执行攻击者指定的恶意库文件，实现远程代码执行。

影响范围

WPS Office版本12.2.0.13110-12.2.0.16412

复现环境

分析过程

WPS程序安装后注册了一个名为 ksoqing 的自定义URL协议，注册表路径为：计算机\HKEY_CLASSES_ROOT\ksoqing\shell\open\command，其内容为"C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wps.exe" /qingbangong "%1"。即访问以ksoqing 开头的URL协议时，将启动wps.exe程序，并传递/qingbangong参数，%1则被替换为以ksoqing 开头的协议链接，一并作为wps启动的参数。

此时wps.exe程序解析参数/qingbangong，并将ksoqing链接内容一并发送到 C:\Users\【用户名】\AppData\Local\Kingsoft\WPS Office\12.2.0.13110\office6\wpscloudsvr.exe

wpscloudsvr.exe中的qingbangong.dll解析自定义URL链接内容。当type参数为ksolaunch时，将启动launchname参数指定的程序，参数使用base64编码。

launchname参数指定的程序启动时，wpscloudsvr.exe会将URL链接中的cmd参数使用base64解码，然后传递给它。

如果launchname参数指定的是promecefpluginhost.exe，该程序启动后，将加载ksojscore.dll，然后解析命令行中的-JSCefServicePath。

这个参数可以指定一个文件名，这个文件会被kso_qt::QLibrary::load函数加载到内存执行。默认情况下，如果只是指定一个文件名，会按照DLL搜索顺序搜索和加载这个文件，比如加载同EXE目录下指定的DLL文件。但是这个参数未做任何过滤，可以指定“..\”包含目录的路径，存在路径穿越漏洞，可以加载任意指定的DLL文件，最终实现任意代码执行。

使用路径穿越的漏洞可以加载指定DLL文件，但这还不够。APT-C-60攻击者使用MHTML格式的xls电子表格文件，利用其特性，实现下载远程DLL文件的目的。WPS支持MHTML格式的文档，这种文档可以包含 HTML、CSS 和 JavaScript 等文件，方便在浏览器中显示文档。

文档中可以使用img标签，指定远程DLL文件。

当文档被打开时，wps使用_XUrlDownloadToCacheFile函数下载文件到temp目录下的wps\INetCache目录中。

下载后的文件名，使用的是下载链接（UNICODE编码）的MD5值。

最终配合上述路径穿越漏洞，在-JSCefServicePath参数中指定下载的文件名，实现远程代码执行。这里还有一个小技巧，因为下载后的文件名并没有.dll后缀，而在加载的时候如果没有指定.dll后缀，会自动补上该后缀再加载。为了避免在加载的时候找不到指定文件导致失败，在-JSCefServicePath参数中指定下载的文件名时，需要在文件名最后额外加个“.”。

漏洞复现

新建xls格式的文档，添加超链接，超链接可任意，并另存为MHTML格式的文档。

根据远程DLL的下载链接，使用poc.py计算下载后的文件名，并最终生成ksoqing协议链接。

将ksoqing链接替换导出的MHTML格式文档中的超链接。

再根据远程DLL的下载链接，添加img标签，实现远程下载DLL文件。

开启远程DLL下载服务，然后打开MHTML文档，点击超链接，触发漏洞。

参考链接

ddpoc链接：

https://www.ddpoc.com/DVB-2024-8279.html

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

https://nvd.nist.gov/vuln/detail/CVE-2024-7262

https://avd.aliyun.com/detail?id=AVD-2024-7262

原文链接

9月10日，2024国家网络安全宣传周创新创业投资专场活动在广州举办。圆桌对话环节，盛邦安全董事长兼总经理权小文就卫星互联网产业发展分享自身看法。在他看来，卫星互联网并不是简单地对传统卫星网络进行升级改造，而是一种全新的产业变革，它将卫星通信与互联网技术相结合，形成一套天网地网融合的新型网络系统。

卫星互联网是指以卫星为接入手段的互联网宽带服务模式，好比将地面基站搬到太空中，每颗卫星就是一个基站。随着卫星互联网产业迅速发展，应用场景与商业模式接连落地的同时，安全挑战也随之而来。这就要求行业企业得“跟上节奏”，用有效的安全措施来保障通信的安全与隐私。

近年来，我国高度重视和支持卫星互联网产业发展，出台了一系列政策与措施。早在2020年4月，国家发改委就将卫星互联网纳入“新基建”信息基础设施范畴。工信部2021年印发《“十四五”信息通信行业发展规划》提出了加快布局卫星通信，初步形成覆盖全球、天地一体的信息网络，为陆海空天各类用户提供全球信息网络服务。

而就在上个月，中国版“星链”——千帆星座（G60星链计划）首批组网卫星成功发射，在权小文看来，这也说明了我国围绕卫星互联网已经有实际的动作和落地，而不再仅是局限于传统卫星网络。“无论从产业政策、技术储备、运营主体、商业模式探索哪个层面来看，我国卫星互联网产业已经迈入奇点。”

权小文表示，作为国内率先进军卫星互联网安全赛道的专业厂商，盛邦安全一直坚持“差异化思考”和“长期主义”，通过自研+并购的方式，已经形成了完整、丰富的卫星互联网安全产品组合。

“今年5月，我们正式进军卫星互联网安全赛道，围绕卫星互联网的体系结构、脆弱性等关键领域，形成了卫星互联网网络空间态势感知能力。”据权小文介绍，盛邦安全早在2021年就开展了卫星互联网安全技术的研发，现已通过漏洞识别评估发展出5G/6G卫星互联网漏洞分析技术等脆弱性检测技术，并在卫星互联网安全领域申请多项专利。

谈及行业发展，权小文表示，要秉持“长期主义”精神。以盛邦安全为例，早期做“精”，中期做“深”，现在做“融合”。他坦言，当技术发展到一定程度后，单一技术的迭代空间有限，融合则成为关键。卫星互联网不仅是技术的融合，也是一种应用场景的融合，会创造更多商业价值，特别是对于最终用户而言。“我们目前投资了多家网络安全公司，加速卫星互联网安全领域这一国家‘新基建’方向的的前瞻布局，开拓卫星互联网安全新质生产力全新蓝海。”

安全是信息化领域发展的永恒话题，卫星互联网当然也不例外。权小文认为，就卫星互联网产业发展，企业需要以跨学科融合的全局视角来解决网络安全行业的实战化挑战，这样才能确保自身技术处于行业前沿。在这一过程中，还需始终坚持“长期主义”，完善相关标准，持续创新技术，构建坚实安全防线，共同推动这一新兴产业健康与可持续发展。

原文链接