Colin Thierry
Publicado em: 9 de dezembro de 2022
Grupo de análise de ameaças do Google (TAG) anunciou na quarta-feira, detalhes técnicos de uma vulnerabilidade de dia zero usada por um grupo norte-coreano de Ameaça Persistente Avançada (APT).
Essa falha foi descoberta no final de outubro e é uma vulnerabilidade de Execução Remota de Código de Linguagens de Script do Windows (RCE) rastreada como CVE-2022-41128. A falha de dia zero permite que os agentes de ameaças explorem uma falha do mecanismo JScript do Internet Explorer por meio de código malicioso incorporado em documentos do Microsoft Office.
A Microsoft abordou a vulnerabilidade pela primeira vez em seu lançamento de patch no mês passado. Ele afeta o Windows 7 a 11 e o Windows Server 2008 a 2022.
De acordo com o TAG do Google, atores apoiados pelo governo norte-coreano primeiro armaram a vulnerabilidade para usá-la contra usuários sul-coreanos. Os criminosos então injetaram o código malicioso em documentos do Microsoft Office, usando uma referência a um trágico incidente em Seul, na Coreia do Sul, para atrair suas vítimas.
Além disso, os pesquisadores descobriram documentos com “segmentação semelhante” que provavelmente foram usados para explorar a mesma vulnerabilidade.
“O documento baixou um modelo remoto de arquivo rich text (RTF), que por sua vez buscou conteúdo HTML remoto”, disse o TAG do Google em seu comunicado de segurança. “Como o Office renderiza esse conteúdo HTML usando o Internet Explorer (IE), essa técnica tem sido amplamente usada para distribuir explorações do IE por meio de arquivos do Office desde 2017 (por exemplo, CVE-2017-0199). Entregar explorações do IE por meio desse vetor tem a vantagem de não exigir que o alvo use o Internet Explorer como seu navegador padrão, nem encadear a exploração com uma fuga de sandbox do EPM.”
Na maioria dos casos, um documento infectado incluiria o recurso de segurança Mark-of-the-Web. Portanto, os usuários devem desativar manualmente a exibição protegida do documento para que um ataque seja bem-sucedido, para que o código possa recuperar o modelo RTF remoto.
Embora o Google TAG não tenha recuperado uma carga final para a campanha maliciosa atribuída a esse grupo APT, especialistas em segurança notaram implantes semelhantes usados pelos agentes de ameaças, incluindo BLUELIGHT, DOLPHIN e ROKRAT.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Detetives de Segurança
- VPN
- a segurança do website
- zefirnet
