Colin Thierry
A Google fenyegetéselemző csoportja (TAG) bejelentés szerdán egy észak-koreai Advanced Persistent Threat (APT) csoport által használt nulladik napi sebezhetőség technikai részletei.
Ezt a hibát október végén fedezték fel, és a Windows Scripting Languages Remote Code Execution (RCE) sebezhetősége CVE-2022 41128-. A nulladik napi hiba lehetővé teszi a fenyegetés szereplői számára, hogy kihasználják az Internet Explorer JScript-motor hibáit a Microsoft Office dokumentumokba ágyazott rosszindulatú kódon keresztül.
A Microsoft először a múlt hónapban kiadott javítások során orvosolta a sérülékenységet. Ez a Windows 7–11 és a Windows Server 2008–2022 rendszert érinti.
A Google TAG szerint az észak-koreai kormányzat által támogatott szereplők először fegyveresen használták fel a sebezhetőséget, hogy azt dél-koreai felhasználók ellen használhassák. A fenyegetés szereplői ezután a Microsoft Office dokumentumaiba fecskendezték be a rosszindulatú kódot, a dél-koreai Szöulban történt tragikus incidensre hivatkozva, hogy átcsábítsák áldozataikat.
Ezenkívül a kutatók „hasonló célzású” dokumentumokat fedeztek fel, amelyeket valószínűleg ugyanazon sebezhetőség kihasználására használtak.
"A dokumentum letöltött egy rich text file (RTF) távoli sablont, amely viszont távoli HTML-tartalmat töltött le" - mondta a Google TAG biztonsági tanácsában. „Mivel az Office ezt a HTML-tartalmat az Internet Explorer (IE) segítségével jeleníti meg, ezt a technikát 2017 óta széles körben használják az IE exploit Office-fájlokon keresztüli terjesztésére (pl. CVE-2017-0199). Az IE kizsákmányolásának ezen a vektoron keresztüli szállítása azzal az előnnyel jár, hogy nem kell a célponttól az Internet Explorert alapértelmezett böngészőként használnia, és nem kell a kizsákmányolást EPM sandbox escape-el láncolnia.”
A legtöbb esetben a fertőzött dokumentumok tartalmazzák a Mark-of-the-Web biztonsági funkciót. Így a felhasználóknak manuálisan le kell tiltaniuk a dokumentum védett nézetét a támadás sikeréhez, hogy a kód le tudja kérni a távoli RTF-sablont.
Bár a Google TAG végül nem gyűjtötte vissza az ennek az APT-csoportnak tulajdonított rosszindulatú kampány végső hasznos terhét, a biztonsági szakértők hasonló implantátumokat észleltek, amelyeket a fenyegetés szereplői, köztük a BLUELIGHT, a DOLPHIN és a ROKRAT használtak.
