两个影响 WPS Office 的任意代码执行漏洞分析，CVE-2024-7262 和 CVE-2024-7263

是白小羽呐 / 2024-09-19 / 原文

两个影响 WPS Office 的任意代码执行漏洞分析，CVE-2024-7262 和 CVE-2024-7263

前言

ESET 研究人员在 WPS Office for Windows 中发现了一个代码执行漏洞（CVE-2024-7262），因为它被与韩国结盟的网络间谍组织 APT-C-60 利用。在分析根本原因后，我们随后发现了另一种利用错误代码的方法（CVE-2924-7263）。经过协调的披露流程，这两个漏洞现在都已修补 – 在这篇博文中，我们提供了技术详细信息。

博文的要点：

APT-C-60 将 WPS Office for Windows 中的代码执行漏洞（CVE-2024-7262）武器化，以东亚国家为目标。
提供了此漏洞的根本原因分析及其武器化描述。
对漏洞利用的研究使 ESET 研究人员发现了利用该漏洞的替代途径（CVE-2024-7263）。

ESET 研究人员在 WPS Office for Windows 中发现了一个代码执行漏洞（CVE-2024-7262），因为它被与韩国结盟的网络间谍组织 APT-C-60 利用。在分析根本原因后，我们随后发现了另一种利用错误代码的方法（CVE-2924-7263）。经过协调的披露流程，这两个漏洞现在都已修补 – 在这篇博文中，我们提供了技术详细信息。

博文的要点：

APT-C-60 将 WPS Office for Windows 中的代码执行漏洞（CVE-2024-7262）武器化，以东亚国家为目标。

提供了此漏洞的根本原因分析及其武器化描述。

对漏洞利用的研究使 ESET 研究人员发现了利用该漏洞的替代途径（CVE-2024-7263）。

概述

在调查 APT-C-60 活动时，我们发现了一个奇怪的电子表格文档，其中引用了该组织的众多下载器组件之一。我们的分析使我们在 WPS Office for Windows 中发现了一个代码执行漏洞，APT-C-60 在野外利用该漏洞以东亚国家为目标。最终有效载荷是我们内部命名为 SpyGlace 的自定义后门，由 ThreatBook 公开记录为 TaskControler.dll。

根据 WPS 网站，该软件在全球拥有超过 5 亿活跃用户，这使其成为接触东亚地区大量个人的良好目标。在我们协调的漏洞披露过程中，DBAPPSecurity 独立发布了对武器化漏洞的分析，并确认 APT-C-60 已利用该漏洞向中国用户发送恶意软件。

恶意文档（SHA-1： 7509B4C506C01627C1A4C396161D07277F044AC6）是常用 XLS 电子表格格式的 MHTML 导出。但是，它包含一个特制的隐藏超链接，如果在使用 WPS 电子表格应用程序时单击该超链接，则会触发任意库的执行。相当非常规的 MHTML 文件格式允许在打开文档后立即下载文件;因此，在利用漏洞的同时利用此技术可提供远程代码执行。图 1 显示了文档在 WPS 电子表格中的显示方式：引用 Coremail 电子邮件解决方案的行和列图像，用作诱饵。该图像隐藏了恶意超链接。

图 1.漏洞利用文档嵌入了隐藏恶意超链接的图片

根据我们的协调漏洞披露政策，从武器化文档上传到 VirusTotal 的那一刻到本博文发布，我们遵循以下时间线：

2024 年 2 月 29 日：CVE-2024-7262 的漏洞利用文档已上传到 VirusTotal。
2024-03-??：金山发布更新，静默修补了 CVE-2024-7672 漏洞，使得 2024-02-29 漏洞不再有效。这是通过分析 2024-03 和 2024-04 年之间所有可访问的 WPS Office 版本来回顾性确定的，因为金山在尝试修复此漏洞时并没有特别愿意提供其行动的准确细节。
2024 年 4 月 30 日：我们分析了 VirusTotal 的恶意文档，发现它正在积极利用 CVE-2024-7262，该漏洞在文档最初使用时是一个零日漏洞。我们还发现，金山软件的静默补丁只解决了错误代码的一部分，其余的有缺陷的代码仍然可以被利用。
2024-05-25：我们联系了金山软件报告了我们的发现。虽然第一个漏洞已经修补，但我们询问他们是否可以像对 CVE-2022-24934 一样创建 CVE 条目和/或公开声明。
2024-05-30：金山软件承认了这些漏洞，并告诉我们他们会及时通知我们。
2024-06-17：我们要求更新。
2024-06-22：金山告诉我们，开发团队仍在努力，并打算在下一个版本中修复这个问题。
2024 年 7 月 31 日：根据后来的测试，我们发现 CVE-2024-7263 已被静默修补。我们告知金山软件，我们已经保留并正在准备 CVE-2024-7262 和 CVE-2024-7263。
2024 年 8 月 11 日：DBAPPSecurity 团队独立发布了其调查结果。
2024 年 8 月 15 日：CVE-2024-7262 和 CVE-2024-7263 发布。
2024-08-16：我们要求金山再次更新。
2024 年 8 月 22 日：金山软件承认已在 5 月底修复了 CVE-2024-7263，这与该公司在 2024 年 6 月 22 日声称其开发团队“仍在努力”的说法相矛盾。
2024-08-28：金山软件已经承认了这两个漏洞，并且已经修补了这两个漏洞。但是，金山软件没有表示有兴趣公开 CVE-2024-7262 的在野利用，因此我们现在发布这篇博文以警告金山的客户，由于 CVE-2024-7262 漏洞和利用的在野利用和第三方披露，他们应该紧急更新 WPS Office，这增加了进一步利用的机会。

CVE-2024-7262 漏洞源于攻击者提供的文件路径缺乏清理，并且缺乏对正在加载的插件的验证。在分析了它的补丁之后，我们发现了另一种利用漏洞的方法，即利用进一步的逻辑错误。

CVE-2024-7262漏洞

本节描述了 APT-C-60 利用的 bug，该 bug 允许通过劫持 WPS Office 插件组件的控制流来执行代码promecefpluginhost.exe。我们还解释了漏洞是如何被触发并以看起来合法的电子表格文档的形式武器化的。

根本原因分析

安装 WPS Office for Windows 时，软件套件会注册一个名为 ksoqing 的自定义协议处理程序，每当用户单击以 URI 方案 ksoqing:// 开头的 URL 时，该处理程序都允许执行外部应用程序。在 Windows 操作系统中，自定义协议处理程序的注册是在注册表中完成的。在这种情况下，键 HKCR\ksoqing\shell\open\command 下的默认值指示 Windows 执行 C：\Users<USER>\AppData\Local\Kingsoft\WPS Office<VERSION>\office6\wps.exe 参数 /qingbangong “%1”，其中 %1 替换为完整 URL。为了说明这一点，图 2 显示了当用户在 WPS Spreadsheet 应用程序（et.exe）中使用自定义协议 ksoqing 单击超链接时会发生什么。

图 2.WPS Spreadsheet 应用程序wps.exe启动 以处理自定义协议 ksoqing

图 3 概述了 CVE-2024-7262 漏洞利用的控制流程。

图 3.漏洞利用的控制流程概述

启动后，wps.exe 会加载qingbangong.dll，该组件负责解析和验证超链接中的某些参数。我们发现的漏洞利用文件中的恶意链接格式为 ksoqing：//type=ksolaunch&cmd=&token=&launchname=promecefpluginhost.exe。根据我们的分析和测试，这会导致使用攻击者提供的 base64 编码命令行启动系统上已经存在的应用程序（在本例中为 promecefpluginhost.exe）。

token 参数是 cmd 参数的编码值的 MD5 哈希值，与字符串 qingLaunchKey 连接，后跟 launchname 参数的编码值。最后一个必须是位于 C：\Users<USER>\AppData\Local\Kingsoft\WPS Office<VERSION>\office6\ 下的可执行文件，并使用金山的有效证书签名。

解码 cmd 参数后，我们发现命令行 /qingbangong -CefParentID=1 -JSCefServicePath=<base64 编码的文件路径>被传递给了 promecefpluginhost.exe。经过一些初始化后，将加载库ksojscore.dll并解码 JSCefServicePath 参数。结果是一个字符串，作为参数传递给Qt的QLibrary：：load方法。此文件路径由攻击者定义，这意味着攻击者可以通过加载任意 DLL 来实现代码执行。图 4 说明了 ksojscore.dll 如何处理攻击者控制的 JSCefServicePath 参数。

从本质上讲，可以滥用 ksoqing 方案协议并创建一个超链接，单击该超链接将从给定的远程文件路径加载库。APT-C-60 将漏洞武器化，以执行其第一阶段木马下载程序组件（SHA-1： 08906644B0EF1EE6478C45A6E0DD28533A9EFC29）。

利用漏洞

为了利用此漏洞，攻击者需要将恶意库存储在目标计算机可访问的位置（系统或远程共享上），并提前知道其文件路径。此漏洞的漏洞利用开发人员知道一些帮助他们实现这一目标的技巧。

利用 MHTML 格式下载远程文件

该漏洞利用的作者选择利用受支持的 MHTML 文件格式的特定功能，以可预测的方式下载和存储在系统上。这种特殊类型的文件是 Microsoft Word 和 Excel 应用程序提供的一种导出格式，允许用户在浏览器中查看文档。它是一个多部分存档，包含 HTML、CSS 和 JavaScript 文件，便于文档的显示。通过在其中一个 HTML 文件中插入 img 标签，可以使 Spreadsheet 应用程序在加载文档时下载远程文件。例如，图 5 显示了我们的一个测试文件，其中 img 标签及其 src 元素指向本地存储的库。

使用 WPS Spreadsheet et.exe 应用程序打开电子表格文档时，远程库会自动下载并存储在磁盘上，如图 6 所示，使用 ProcMon 进行观察。

ESET 研究人员在 WPS Office for Windows 中发现了一个代码执行漏洞（CVE-2024-7262），因为它被与韩国结盟的网络间谍组织 APT-C-60 利用。在分析根本原因后，我们随后发现了另一种利用错误代码的方法（CVE-2924-7263）。经过协调的披露流程，这两个漏洞现在都已修补 – 在这篇博文中，我们提供了技术详细信息。

博文的要点：

APT-C-60 将 WPS Office for Windows 中的代码执行漏洞（CVE-2024-7262）武器化，以东亚国家为目标。

提供了此漏洞的根本原因分析及其武器化描述。

对漏洞利用的研究使 ESET 研究人员发现了利用该漏洞的替代途径（CVE-2024-7263）。

概述

在调查 APT-C-60 活动时，我们发现了一个奇怪的电子表格文档，其中引用了该组织的众多下载器组件之一。我们的分析使我们在 WPS Office for Windows 中发现了一个代码执行漏洞，APT-C-60 在野外利用该漏洞以东亚国家为目标。最终有效载荷是我们内部命名为 SpyGlace 的自定义后门，由 ThreatBook 公开记录为 TaskControler.dll。

根据 WPS 网站，该软件在全球拥有超过 5 亿活跃用户，这使其成为接触东亚地区大量个人的良好目标。在我们协调的漏洞披露过程中，DBAPPSecurity 独立发布了对武器化漏洞的分析，并确认 APT-C-60 已利用该漏洞向中国用户发送恶意软件。

恶意文档（SHA-1： 7509B4C506C01627C1A4C396161D07277F044AC6）是常用 XLS 电子表格格式的 MHTML 导出。但是，它包含一个特制的隐藏超链接，如果在使用 WPS 电子表格应用程序时单击该超链接，则会触发任意库的执行。相当非常规的 MHTML 文件格式允许在打开文档后立即下载文件;因此，在利用漏洞的同时利用此技术可提供远程代码执行。图 1 显示了文档在 WPS 电子表格中的显示方式：引用 Coremail 电子邮件解决方案的行和列图像，用作诱饵。该图像隐藏了恶意超链接。

图 1.漏洞利用文档嵌入了隐藏恶意超链接的图片

根据我们的协调漏洞披露政策，从武器化文档上传到 VirusTotal 的那一刻到本博文发布，我们遵循以下时间线：

2024 年 2 月 29 日：CVE-2024-7262 的漏洞利用文档已上传到 VirusTotal。
2024-03-??：金山发布更新，静默修补了 CVE-2024-7672 漏洞，使得 2024-02-29 漏洞不再有效。这是通过分析 2024-03 和 2024-04 年之间所有可访问的 WPS Office 版本来回顾性确定的，因为金山在尝试修复此漏洞时并没有特别愿意提供其行动的准确细节。
2024 年 4 月 30 日：我们分析了 VirusTotal 的恶意文档，发现它正在积极利用 CVE-2024-7262，该漏洞在文档最初使用时是一个零日漏洞。我们还发现，金山软件的静默补丁只解决了错误代码的一部分，其余的有缺陷的代码仍然可以被利用。
2024-05-25：我们联系了金山软件报告了我们的发现。虽然第一个漏洞已经修补，但我们询问他们是否可以像对 CVE-2022-24934 一样创建 CVE 条目和/或公开声明。
2024-05-30：金山软件承认了这些漏洞，并告诉我们他们会及时通知我们。
2024-06-17：我们要求更新。
2024-06-22：金山告诉我们，开发团队仍在努力，并打算在下一个版本中修复这个问题。
2024 年 7 月 31 日：根据后来的测试，我们发现 CVE-2024-7263 已被静默修补。我们告知金山软件，我们已经保留并正在准备 CVE-2024-7262 和 CVE-2024-7263。
2024 年 8 月 11 日：DBAPPSecurity 团队独立发布了其调查结果。
2024 年 8 月 15 日：CVE-2024-7262 和 CVE-2024-7263 发布。
2024-08-16：我们要求金山再次更新。
2024 年 8 月 22 日：金山软件承认已在 5 月底修复了 CVE-2024-7263，这与该公司在 2024 年 6 月 22 日声称其开发团队“仍在努力”的说法相矛盾。
2024-08-28：金山软件已经承认了这两个漏洞，并且已经修补了这两个漏洞。但是，金山软件没有表示有兴趣公开 CVE-2024-7262 的在野利用，因此我们现在发布这篇博文以警告金山的客户，由于 CVE-2024-7262 漏洞和利用的在野利用和第三方披露，他们应该紧急更新 WPS Office，这增加了进一步利用的机会。

CVE-2024-7262 漏洞源于攻击者提供的文件路径缺乏清理，并且缺乏对正在加载的插件的验证。在分析了它的补丁之后，我们发现了另一种利用漏洞的方法，即利用进一步的逻辑错误。

CVE-2024-7262漏洞

本节描述了 APT-C-60 利用的 bug，该 bug 允许通过劫持 WPS Office 插件组件的控制流来执行代码promecefpluginhost.exe。我们还解释了漏洞是如何被触发并以看起来合法的电子表格文档的形式武器化的。

根本原因分析

安装 WPS Office for Windows 时，软件套件会注册一个名为 ksoqing 的自定义协议处理程序，每当用户单击以 URI 方案 ksoqing:// 开头的 URL 时，该处理程序都允许执行外部应用程序。在 Windows 操作系统中，自定义协议处理程序的注册是在注册表中完成的。在这种情况下，键 HKCR\ksoqing\shell\open\command 下的默认值指示 Windows 执行 C：\Users<USER>\AppData\Local\Kingsoft\WPS Office<VERSION>\office6\wps.exe 参数 /qingbangong “%1”，其中 %1 替换为完整 URL。为了说明这一点，图 2 显示了当用户在 WPS Spreadsheet 应用程序（et.exe）中使用自定义协议 ksoqing 单击超链接时会发生什么。

图 3 概述了 CVE-2024-7262 漏洞利用的控制流程。

启动后，wps.exe 会加载qingbangong.dll，该组件负责解析和验证超链接中的某些参数。我们发现的漏洞利用文件中的恶意链接格式为 ksoqing：//type=ksolaunch&cmd=&token=&launchname=promecefpluginhost.exe。根据我们的分析和测试，这会导致使用攻击者提供的 base64 编码命令行启动系统上已经存在的应用程序（在本例中为 promecefpluginhost.exe）。

token 参数是 cmd 参数的编码值的 MD5 哈希值，与字符串 qingLaunchKey 连接，后跟 launchname 参数的编码值。最后一个必须是位于 C：\Users<USER>\AppData\Local\Kingsoft\WPS Office<VERSION>\office6\ 下的可执行文件，并使用金山的有效证书签名。

解码 cmd 参数后，我们发现命令行 /qingbangong -CefParentID=1 -JSCefServicePath=<base64 编码的文件路径>被传递给了 promecefpluginhost.exe。经过一些初始化后，将加载库ksojscore.dll并解码 JSCefServicePath 参数。结果是一个字符串，作为参数传递给Qt的QLibrary：：load方法。此文件路径由攻击者定义，这意味着攻击者可以通过加载任意 DLL 来实现代码执行。图 4 说明了 ksojscore.dll 如何处理攻击者控制的 JSCefServicePath 参数。

从本质上讲，可以滥用 ksoqing 方案协议并创建一个超链接，单击该超链接将从给定的远程文件路径加载库。APT-C-60 将漏洞武器化，以执行其第一阶段木马下载程序组件（SHA-1： 08906644B0EF1EE6478C45A6E0DD28533A9EFC29）。

利用漏洞

为了利用此漏洞，攻击者需要将恶意库存储在目标计算机可访问的位置（系统或远程共享上），并提前知道其文件路径。此漏洞的漏洞利用开发人员知道一些帮助他们实现这一目标的技巧。

利用 MHTML 格式下载远程文件

该漏洞利用的作者选择利用受支持的 MHTML 文件格式的特定功能，以可预测的方式下载和存储在系统上。这种特殊类型的文件是 Microsoft Word 和 Excel 应用程序提供的一种导出格式，允许用户在浏览器中查看文档。它是一个多部分存档，包含 HTML、CSS 和 JavaScript 文件，便于文档的显示。通过在其中一个 HTML 文件中插入 img 标签，可以使 Spreadsheet 应用程序在加载文档时下载远程文件。例如，图 5 显示了我们的一个测试文件，其中 img 标签及其 src 元素指向本地存储的库。

使用 WPS Spreadsheet et.exe 应用程序打开电子表格文档时，远程库会自动下载并存储在磁盘上，如图 6 所示，使用 ProcMon 进行观察。

图 6.WPS Spreadsheet 应用程序下载并将我们的库存储在系统上

查找可预测的文件路径

至于可预测的文件路径问题，我们发现下载的文件存储在 %localappdata%\Temp\wps\INetCache\ 下，文件名是用 UTF-16LE 编码的 URL 的 MD5 哈希值。例如，我们的 URL http://localhost/Dll1.dll MD5 哈希为 914CBE6372D5B7C93ADDC4FEB5E964CD。但是，当尝试将变量 JSCefServicePath 设置为指向此类文件路径时，它会连接到位于 %localappdata%\Kingsoft\WPS Office<VERSION>\office6\ 下的 WPS Office 应用程序的根目录。如果找不到该文件，promecefpluginhost.exe将尝试从其他路径检索库，如图 7 所示。

但是，可以使用 WPS Office 应用程序根目录中的相对路径，例如 ........\Temp\wps\INetCache\914cbe6372d5b7c93addc4feb5e964cd.

文件扩展名问题

还有最后一个障碍需要克服。精明的读者可能会注意到，当 promecefpluginhost.exe 进程尝试加载库时，.dll扩展名会附加到文件名中。如图 6 所示，在创建下载的文件时，不会附加扩展名。该漏洞利用的作者再次利用他们对 Windows API 的了解来绕过此限制。如前所述，QLibrary：：Load 方法负责加载库，而库又调用 LoadLibraryW。传递给此函数的 lpLibFileName 参数的文档指出，添加尾随点字符（.）会阻止函数追加 .dll 扩展名。因此，将此字符附加到相对路径将允许加载我们的库。

重现漏洞利用

在汇总所有内容时，为了重现漏洞利用，我们遵循了以下步骤：

在 Web 服务器上托管自定义库。
计算 URL 的 MD5 哈希值。
构建相应的超链接。
创建电子表格文档，插入超链接，然后将其导出为 MHTML 文件。
在导出的文件中插入 img 标签以指向 URL。

图 8 说明了如何构建超链接。

打开文档后，单击超链接即可触发漏洞，并加载了我们的自定义库，如图 9 所示，更详细地如图 10 所示。

加载后，我们的自定义库会将 PID、是否存在管理员权限以及托管进程的文件路径写入日志文件。我们复制了不同版本的 WPS Office for Windows 的漏洞，如图 11 所示。

由于这是一个一键式漏洞，漏洞利用开发人员在电子表格中嵌入了电子表格行和列的图片，以欺骗并说服用户该文档是常规电子表格。恶意超链接链接到图像，因此单击图片中的单元格将触发漏洞利用，如图 12 所示。

关于此漏洞的另一个有趣事实是，它也可以通过在 Windows 资源管理器的预览窗格中单击来触发，这使得它更加危险。

受影响的版本

受影响的 WPS Office for Windows 版本范围从 2023 年 8 月左右发布的 12.2.0.13110 到 2024 年 3 月发布版本 12.1.0.16412 的补丁。武器化文件于 2 月首次上传到 VirusTotal;一些恶意组件（鉴于其 PE 时间戳）是在 2 月份构建的。

CVE-2024-7263漏洞

本节对 CVE-2024-7262 的补丁进行了分析，并通过劫持同一 WPS Office 插件组件的控制流 promecefpluginhost.exe 发现了另一个代码执行漏洞。

根本原因分析

在确定哪些版本受第一个漏洞影响的过程中，我们分析了版本 12.1.0.16412（2024 年 3 月左右发布）中静默引入的补丁，以缓解 CVE-2024-7262。实质上，在 promecefpluginhost.exe 和 ksojscore.dll 组件中放置了额外的检查，以验证攻击者控制的变量 JSCefServicePath。但是，补丁未涵盖类似的变量：CefPluginPathU8。

第一次检查发生在 promecefpluginhost.exe 迭代其不同的命令行参数时。如果参数与上述变量之一具有相同的名称（区分大小写的比较），则该参数将被丢弃，如图 13 所示。

之后，它将检索 JSCefServicePath 的预期文件路径，jscefservice.dll应该存储在其中。实际路径应该是 %LOCALAPPDATA%\Kingsoft\WPS Office<VERSION>\office6\addons\kcef\，如图 14 所示。对 CefPluginPathU8 也是如此，其实际路径应指向 %LOCALAPPDATA%\Kingsoft\WPS Office<VERSION>\office6\addons\cef\。

使用接受的命令行参数构建一个新的命令行，后跟由命名变量标识的检索到的文件路径。然后，promecefpluginhost.exe 加载库ksojscore.dll，并使用重新构建的命令行调用其导出 CefRenderEntryPoint。两个命名变量都被选中，但这次比较不区分大小写（参见图 15 中的第 2 行）。

这就是第一个逻辑缺陷。如果命名变量的至少一个字母更改为其大写或小写对应字母，则第一个（区分大小写）检查不会导致攻击者指定的参数被拒绝，并且命令行将如下所示（例如）：

-JSCEfServicePath=<ATTACKER_CONTROLLED> <OTHER_PARAMETERS> -JSCefServicePath=<REAL_PATH> （注意第一个字母 E 的第一个变量名称的大小写变化）。

当这样的命令行传递给 ksojscore.dll 时，它只会第一次出现变量，并且攻击者控制的变量总是放在有效变量之前。

但是，在加载 JSCefServicePath 文件路径给定的库之前，引入了第二次检查。调用函数 krt：：ksafe：：KProcess：：verifyZhuHaiKingsoftCertSigner，查看库的证书，确保是属于金山的库。因此，攻击者无法加载任何任意库。

但是，未正确检查 CefPluginPathU8 变量。这就是第二个缺陷。验证 JSCefServicePath 文件路径后，将加载库jscefservice.dll，并使用 CefPluginPathU8 提供的文件路径与字符串 \libcef.dll 连接调用 LoadLibraryExW，而不检查其签名。

如果变量 CefPluginPathU8 的至少一个字母发生更改，jscefservice.dll将尝试加载存储在该变量给出的攻击者控制文件路径下的 libcef.dll 库

利用漏洞

此漏洞的主要约束是附加到文件路径的字符串 libcef.dll。在撰写这篇博文时，我们还没有找到下载文件并选择其文件名的方法。但是，在本地网络上，在共享上托管库并让变量 CefPluginPathU8 指向该库是可行的，因为 LoadLibraryExW 允许指定网络路径。图 18 所示的屏幕截图说明了 promecefpluginhost.exe（版本 12.2.0.16909,2024 年 4 月下旬发布）的控制流如何使用网络路径被劫持。

受影响的版本

受影响的 WPS Office for Windows 版本范围从 2023 年 8 月左右发布的 12.2.0.13110 到 2024 年 5 月底发布版本 12.2.0.17119 的补丁。

结论

由于 WPS Office 是一种主要分布在亚洲的软件套件，APT-C-60 展示了它对东亚国家目标的破坏决心。无论该团队是开发还是购买了 CVE-2024-7262 漏洞，它肯定需要对应用程序的内部进行一些研究，但也需要了解 Windows 加载过程的行为方式。该漏洞利用非常狡猾，因为它具有足够的欺骗性，可以诱骗任何用户点击看起来合法的电子表格，同时也非常有效和可靠。MHTML 文件格式的选择使攻击者能够将代码执行漏洞转化为远程漏洞。

此外，我们发现的 CVE-2024-7263 凸显了仔细的补丁验证过程并确保核心问题得到充分解决的重要性。

我们强烈建议 WPS Office for Windows 用户将其软件更新到最新版本。