کولن تھیری
گوگل کا خطرہ تجزیہ گروپ (TAG) کا اعلان کیا ہے بدھ کو شمالی کوریا کے ایڈوانسڈ پرسسٹنٹ تھریٹ (APT) گروپ کے زیر استعمال صفر دن کے خطرے کی تکنیکی تفصیلات۔
یہ خامی اکتوبر کے آخر میں دریافت ہوئی تھی، اور یہ ونڈوز اسکرپٹنگ لینگویجز ریموٹ کوڈ ایگزیکیوشن (RCE) کی کمزوری ہے CVE-2022-41128. صفر دن کی خامی دھمکی دینے والے اداکاروں کو مائیکروسافٹ آفس دستاویزات میں سرایت شدہ کوڈ کے ذریعے انٹرنیٹ ایکسپلورر JScript انجن کی خرابی کا فائدہ اٹھانے کی اجازت دیتی ہے۔
مائیکروسافٹ نے سب سے پہلے پچھلے مہینے اپنے پیچ رول آؤٹ میں کمزوری کو دور کیا۔ یہ ونڈوز 7 سے 11 تک اور ونڈوز سرور 2008 سے 2022 تک متاثر کرتا ہے۔
گوگل کے TAG کے مطابق، شمالی کوریا کی حکومت کے حمایت یافتہ اداکاروں نے پہلے اس کمزوری کو ہتھیار بنایا تاکہ اسے جنوبی کوریا کے صارفین کے خلاف استعمال کیا جا سکے۔ دھمکی دینے والے اداکاروں نے پھر مائیکروسافٹ آفس کی دستاویزات میں بدنیتی پر مبنی کوڈ داخل کیا، جس میں اپنے متاثرین کو راغب کرنے کے لیے، جنوبی کوریا کے شہر سیول میں ایک المناک واقعے کا حوالہ دیا گیا۔
مزید برآں، محققین نے "مماثل ہدف بندی" والی دستاویزات دریافت کیں جو ممکنہ طور پر اسی خطرے سے فائدہ اٹھانے کے لیے استعمال کی گئی تھیں۔
"دستاویز نے ایک رچ ٹیکسٹ فائل (RTF) ریموٹ ٹیمپلیٹ ڈاؤن لوڈ کیا، جس کے نتیجے میں ریموٹ HTML مواد حاصل ہوا،" گوگل کے TAG نے اپنی سیکیورٹی ایڈوائزری میں کہا۔ "چونکہ آفس انٹرنیٹ ایکسپلورر (IE) کا استعمال کرتے ہوئے اس HTML مواد کو پیش کرتا ہے، اس تکنیک کو 2017 (جیسے CVE-2017-0199) سے آفس فائلوں کے ذریعے IE کے استحصال کو تقسیم کرنے کے لیے وسیع پیمانے پر استعمال کیا جا رہا ہے۔ اس ویکٹر کے ذریعے IE کے استحصال کی فراہمی کا فائدہ یہ ہے کہ ہدف کو انٹرنیٹ ایکسپلورر کو اس کے ڈیفالٹ براؤزر کے طور پر استعمال کرنے کی ضرورت نہیں ہے، اور نہ ہی EPM سینڈ باکس فرار کے ساتھ استحصال کی زنجیر بنانا ہے۔"
زیادہ تر معاملات میں، ایک متاثرہ دستاویز میں مارک آف دی ویب سیکیورٹی فیچر شامل ہوگا۔ اس طرح، صارف کو کسی حملے کے کامیاب ہونے کے لیے دستاویز کے محفوظ منظر کو دستی طور پر غیر فعال کرنا چاہیے، تاکہ کوڈ ریموٹ RTF ٹیمپلیٹ کو بازیافت کر سکے۔
اگرچہ Google TAG نے اس APT گروپ سے منسوب بدنیتی پر مبنی مہم کے لیے حتمی پے لوڈ کو بحال نہیں کیا، لیکن سیکیورٹی ماہرین نے بلیو لائٹ، ڈولفن، اور روکراٹ سمیت دھمکی آمیز اداکاروں کے ذریعے استعمال کیے گئے اسی طرح کے امپلانٹس کو دیکھا۔
