कॉलिन थियरी
Google का खतरा विश्लेषण समूह (TAG) की घोषणा बुधवार को एक उत्तर कोरियाई एडवांस्ड परसिस्टेंट थ्रेट (APT) समूह द्वारा उपयोग की जाने वाली शून्य-दिन भेद्यता का तकनीकी विवरण।
यह दोष अक्टूबर के अंत में खोजा गया था, और एक विंडोज स्क्रिप्टिंग लैंग्वेजेज रिमोट कोड एक्ज़ीक्यूशन (RCE) भेद्यता के रूप में ट्रैक किया गया है CVE-2022-41128. जीरो-डे दोष खतरे के अभिनेताओं को माइक्रोसॉफ्ट ऑफिस दस्तावेजों में एम्बेडेड दुर्भावनापूर्ण कोड के माध्यम से इंटरनेट एक्सप्लोरर जेस्क्रिप्ट इंजन की गलती का फायदा उठाने की अनुमति देता है।
Microsoft ने सबसे पहले पिछले महीने अपने पैच रोलआउट में भेद्यता को संबोधित किया था। यह विंडोज 7 से 11 तक और विंडोज सर्वर 2008 से 2022 तक प्रभावित करता है।
Google के TAG के अनुसार, उत्तर कोरियाई सरकार समर्थित अभिनेताओं ने पहले दक्षिण कोरियाई उपयोगकर्ताओं के खिलाफ इसका इस्तेमाल करने के लिए भेद्यता को हथियार बनाया। इसके बाद धमकी देने वालों ने अपने पीड़ितों को लुभाने के लिए सियोल, दक्षिण कोरिया में एक दुखद घटना के संदर्भ में Microsoft Office दस्तावेज़ों में दुर्भावनापूर्ण कोड डाला।
इसके अतिरिक्त, शोधकर्ताओं ने "समान लक्ष्यीकरण" वाले दस्तावेजों की खोज की, जिनका उपयोग समान भेद्यता का फायदा उठाने के लिए किया गया था।
Google के TAG ने अपनी सुरक्षा सलाह में कहा, "दस्तावेज़ ने एक समृद्ध टेक्स्ट फ़ाइल (RTF) रिमोट टेम्प्लेट डाउनलोड किया, जो बदले में दूरस्थ HTML सामग्री प्राप्त करता है।" "क्योंकि कार्यालय इंटरनेट एक्सप्लोरर (आईई) का उपयोग करके इस एचटीएमएल सामग्री को प्रस्तुत करता है, इस तकनीक का व्यापक रूप से 2017 के बाद से कार्यालय फाइलों के माध्यम से आईई शोषण को वितरित करने के लिए उपयोग किया जाता है (उदाहरण के लिए सीवीई-2017-0199)। इस वेक्टर के माध्यम से आईई एक्सप्लॉइट डिलीवर करने का फायदा यह है कि लक्ष्य को अपने डिफ़ॉल्ट ब्राउज़र के रूप में इंटरनेट एक्सप्लोरर का उपयोग करने की आवश्यकता नहीं है, न ही ईपीएम सैंडबॉक्स एस्केप के साथ शोषण को चेन करने के लिए।
ज्यादातर मामलों में, एक संक्रमित दस्तावेज़ में मार्क-ऑफ़-द-वेब सुरक्षा सुविधा शामिल होगी। इस प्रकार, हमले के सफल होने के लिए उपयोगकर्ताओं को दस्तावेज़ के संरक्षित दृश्य को मैन्युअल रूप से अक्षम करना होगा, ताकि कोड दूरस्थ RTF टेम्पलेट को पुनः प्राप्त कर सके।
हालांकि Google TAG ने इस APT समूह को जिम्मेदार दुर्भावनापूर्ण अभियान के लिए अंतिम पेलोड को पुनर्प्राप्त करने का अंत नहीं किया, लेकिन सुरक्षा विशेषज्ञों ने BLUELIGHT, DOLPHIN और ROKRAT सहित खतरे के अभिनेताओं द्वारा उपयोग किए जाने वाले समान प्रत्यारोपणों पर ध्यान दिया।
