Investigadores de ciberseguridad del Threat Analysis Group (TAG) de Google han descubierto una vulnerabilidad de día cero en el navegador Internet Explorer (IE) (se abre en una pestaña nueva) siendo explotado por un conocido actor de amenazas de Corea del Norte.
en una entrada de blog (se abre en una pestaña nueva) Al detallar sus hallazgos, el grupo dijo que vio al grupo APT37 (también conocido como Erebus), apuntando a personas en Corea del Sur con un archivo de Microsoft Word armado.
El archivo se titula “221031 Situación de respuesta al accidente de Seoul Yongsan Itaewon (06:00).docx”, que hace referencia a la reciente tragedia que tuvo lugar en Itaewon, Seúl, durante la celebración de Halloween de este año, donde al menos 158 personas perdieron sus vidas, con otros 200 heridos. Aparentemente, los atacantes querían aprovecharse de la atención del público y de los medios que recibió el incidente.
Abusando de viejos defectos
Después de analizar el documento que se estaba distribuyendo, TAG descubrió que estaba descargando una plantilla remota de archivo de texto enriquecido (RTF) en el punto final de destino, que luego toma el contenido HTML remoto. Es posible que Microsoft haya retirado Internet Explorer y lo haya reemplazado con Edge, pero Office aún procesa contenido HTML usando IE, que es un hecho conocido del que los actores de amenazas han estado abusando desde al menos 2017, dijo TAG.
Ahora que Office presenta contenido HTML con IE, los atacantes pueden abusar del día cero que descubrieron en el motor JScript de IE.
El equipo encontró la falla en «jscript9.dll», el motor de JavaScript de Internet Explorer, que permitía a los actores de amenazas ejecutar código arbitrario cuando renderizaban un sitio web bajo su control.
Microsoft recibió un aviso el 31 de octubre de 2022, con la falla etiquetada CVE-2022-41128 tres días después, y se lanzó un parche el 8 de noviembre.
Si bien el proceso hasta ahora solo compromete el dispositivo, TAG no descubrió con qué fin. No encontró la carga útil final de APT37 para esta campaña, dijo, pero agregó que en el pasado se observó que el grupo entregaba malware como Rokrat, Bluelight o Dolphin.
Vía: The Verge (se abre en una pestaña nueva)