{"id":338855,"date":"2022-12-09T14:52:38","date_gmt":"2022-12-09T14:52:38","guid":{"rendered":"https:\/\/magazineoffice.com\/los-piratas-informaticos-de-corea-del-norte-explotan-una-vez-mas-los-bits-sobrantes-de-internet-explorer\/"},"modified":"2022-12-09T14:52:40","modified_gmt":"2022-12-09T14:52:40","slug":"los-piratas-informaticos-de-corea-del-norte-explotan-una-vez-mas-los-bits-sobrantes-de-internet-explorer","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/los-piratas-informaticos-de-corea-del-norte-explotan-una-vez-mas-los-bits-sobrantes-de-internet-explorer\/","title":{"rendered":"Los piratas inform\u00e1ticos de Corea del Norte explotan una vez m\u00e1s los bits sobrantes de Internet Explorer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> APT37, un grupo que se cree que est\u00e1 respaldado por el gobierno de Corea del Norte, ha tenido \u00e9xito al explotar los bits de Internet Explorer que a\u00fan est\u00e1n presentes en varias aplicaciones basadas en Windows.<\/div>\n<p>Aurich Lawson |  im\u00e1genes falsas<\/p>\n<\/figcaption><\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 2:single\/related:25f57318b6b37019eee76f780a33e318 --><!-- empty --><\/p>\n<p>El navegador Edge de Microsoft ha reemplazado a Internet Explorer en casi todos los aspectos, pero quedan algunas excepciones.  Uno de ellos, en lo profundo de Microsoft Word, fue explotado por un grupo respaldado por Corea del Norte este oto\u00f1o, afirman los investigadores de seguridad de Google.<\/p>\n<p>No es la primera vez que APT37, respaldado por el gobierno, utiliza la presencia persistente de Internet Explorer, como se\u00f1ala el Grupo de an\u00e1lisis de amenazas (TAG) de Google en una publicaci\u00f3n de blog.  APT37 ha tenido un \u00e9xito repetido al apuntar a periodistas y activistas de Corea del Sur, adem\u00e1s de desertores de Corea del Norte, a trav\u00e9s de una v\u00eda limitada pero a\u00fan exitosa de Internet Explorer.<\/p>\n<p>El \u00faltimo exploit se dirigi\u00f3 a aquellos que se dirig\u00edan a Daily NK, un sitio de Corea del Sur dedicado a las noticias de Corea del Norte.  Este involucr\u00f3 la aglomeraci\u00f3n de la multitud de Halloween en Itaewon, que mat\u00f3 al menos a 151 personas.  Un documento .docx de Microsoft Word, nombrado como si tuviera fecha y hora menos de dos d\u00edas despu\u00e9s del incidente y etiquetado como \u00absituaci\u00f3n de respuesta al accidente\u00bb, comenz\u00f3 a circular.  Los usuarios de Corea del Sur comenzaron a enviar el documento a VirusTotal, propiedad de Google, donde se marc\u00f3 con CVE-2017-0199, una vulnerabilidad conocida desde hace mucho tiempo en Word y WordPad.<\/p>\n<figure class=\"image shortcode-img center large\" style=\"width:100%\"><img loading=\"lazy\" decoding=\"async\" alt=\"El documento en cuesti\u00f3n pretende estar relacionado con un p\u00e1nico multitudinario mortal a fines de octubre en Itaewon, Corea del Sur.\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2022\/12\/doc_exploit-640x458.png\" width=\"640\" height=\"458\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2022\/12\/doc_exploit.png 2x\"\/><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> El documento en cuesti\u00f3n pretende estar relacionado con un p\u00e1nico multitudinario mortal a fines de octubre en Itaewon, Corea del Sur.<\/div>\n<\/figcaption><\/figure>\n<p>Al igual que en abril de 2017, el documento, si hace clic para permitir que Word\/WordPad lo vea fuera de la \u00abVista protegida\u00bb sin descarga, descarga una plantilla de texto enriquecido de un servidor controlado por el atacante, luego toma m\u00e1s HTML que parece Rich Plantillas de formato de texto.  Office y WordPad utilizan intr\u00ednsecamente Internet Explorer para representar HTML en lo que Microsoft describe como \u00abarchivos especialmente dise\u00f1ados\u00bb, lo que brinda a los atacantes una forma de introducir varias cargas \u00fatiles de malware.  Aunque se parch\u00f3 ese mismo mes, la vulnerabilidad persisti\u00f3;  fue uno de los vectores explotados en una ola de Petya m\u00e1s de un a\u00f1o despu\u00e9s.<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio publicitario <\/span>    <\/p>\n<\/aside>\n<p>La vulnerabilidad espec\u00edfica tiene que ver con el motor JavaScript de Internet Explorer.  Un error durante la optimizaci\u00f3n justo a tiempo conduce a una confusi\u00f3n de tipos de datos y escritura en la memoria.  Este exploit en particular tambi\u00e9n se limpi\u00f3 despu\u00e9s de s\u00ed mismo, borrando el cach\u00e9 de Internet Explorer y el historial de su presencia.  Si bien el TAG de Google no sabe qu\u00e9 cargas \u00fatiles se entregaron, APT37 ha hecho circular previamente exploits que activaron BLUELIGHT, ROKRAT y DOLPHIN, todos enfocados en los intereses pol\u00edticos y econ\u00f3micos de Corea del Norte.  (Sin embargo, los piratas inform\u00e1ticos de Corea del Norte no son reacios a un exploit de Chrome).<\/p>\n<p>Microsoft parch\u00f3 el exploit espec\u00edfico en su motor JScript, pero este es el quinto a\u00f1o de ataques de documentos de Word de c\u00f3digo remoto, parece que seguir\u00e1n existiendo por un tiempo m\u00e1s.  Y los actores norcoreanos estar\u00e1n ansiosos por actuar sobre ellos.<\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Agrandar \/ APT37, un grupo que se cree que est\u00e1 respaldado por el gobierno de Corea del Norte, ha tenido \u00e9xito al explotar los bits de Internet Explorer que a\u00fan&hellip;<\/p>\n","protected":false},"author":1,"featured_media":338856,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[14218,5295,194,19079,39286,9844,1637,8,84,426,9151,66667,73,440],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/338855"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=338855"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/338855\/revisions"}],"predecessor-version":[{"id":338857,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/338855\/revisions\/338857"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/338856"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=338855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=338855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=338855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}