Skip to main content

Internet Explorer è ancora un valido vettore di attacco zero-day

Il Threat Analysis Group (TAG) di Google ha condiviso i dettagli tecnici su una vulnerabilità zero-day di Internet Explorer sfruttata negli attacchi del gruppo di hacker nordcoreano APT37.

Il gruppo ha sfruttato una vulnerabilità zero-day per attaccare individui con sede in Corea del Sud con malware incorporato in un documento di Microsoft Office.

Tracciato come CVE-2022-41128 (punteggio CVSS di 8,8), la vulnerabilità è stata identificata nel motore JavaScript “JScript9” del browser e può essere sfruttata da hacker remoti per eseguire codice arbitrario su un sistema bersaglio.

Il caricamento remoto del contenuto HTML che ha fornito l’exploit consente agli aggressori di sfruttare lo zero-day di IE anche se i target non lo utilizzavano come browser Web predefinito.

Google descrive il bug di sicurezza come un problema di ottimizzazione JIT errato. Il bug è simile a CVE-2021-34480 , un bug JScript9 che è stato corretto lo scorso anno.

Microsoft ha patchato CVE-2022-41128 una settimana dopo essere stato avvisato, come parte degli aggiornamenti di sicurezza del Patch Tuesday di novembre 2022, avvertendo che la vulnerabilità veniva sfruttata negli attacchi.

Il gigante della tecnologia ha notato che un utente malintenzionato dovrebbe indurre la vittima designata a visitare una condivisione di server o un sito Web appositamente predisposto per attivare l’exploit.

Secondo la documentazione pubblica da Google , APT37 collegato alla Corea del Nord ha utilizzato un documento dannoso di Microsoft Office che fa riferimento al tragico incidente di Seoul durante i festeggiamenti di Halloween del 29 ottobre 2022 per prendere di mira gli utenti sudcoreani con un exploit per CVE-2022-41128.

Il documento dannoso è stato progettato per recuperare un modello RTF (Rich Text File) remoto, che a sua volta scaricava contenuto HTML remoto utilizzando Internet Explorer.

Provenendo da una fonte esterna, il documento ha il Mark-of-the-Web applicato e l’utente dovrebbe disabilitare la “Visualizzazione protetta” in Office per scaricare il modello RTF remoto.

I ricercatori del TAG di Google hanno notato che un cookie che viene impostato quando viene consegnato l’RTF viene inviato nuovamente quando viene richiesto il contenuto HTML e che il codice JavaScript controlla il cookie prima di lanciare l’exploit.

Lo shellcode fornito durante lo sfruttamento “cancella tutte le tracce di sfruttamento, cancellando la cache e la cronologia di Internet Explorer prima di scaricare la fase successiva” utilizzando lo stesso set di cookie quando è stato consegnato l’RTF remoto. Google dice che non è stato possibile recuperare il payload finale.

“Poiché Office esegue il rendering di questo contenuto HTML utilizzando Internet Explorer, questa tecnica è stata ampiamente utilizzata per distribuire gli exploit di Internet Explorer tramite i file di Office dal 2017”, hanno scritto Clement Lecigne e Benoit Sevens, ricercatori di sicurezza presso il Threat Analysis Group di Google, in un post sul blog.

I ricercatori di Google hanno affermato di aver identificato altri documenti dannosi che probabilmente sfruttano la stessa vulnerabilità con un targeting simile, suggerendo che potrebbero far parte della stessa campagna.

APT37 è attivo da almeno un decennio, secondo Mitre, e storicamente prende di mira individui in Corea del Sud, disertori nordcoreani, politici, giornalisti e attivisti per i diritti umani.


    Iscriviti alla newsletter

    Rimani sempre aggiornato sulle ultime news.

    Ai sensi del Regolamento UE n. 2016/679 in materia di Protezione dei Dati Personali. Leggi l'informativa sulla Privacy policy.

    Sei sotto attacco?