Google afirma que Corea del Norte atacó una vulnerabilidad de Internet Explorer

Zero-day attack
(Crédito de imagen: Shutterstock.com)

Investigadores de ciberseguridad del Grupo de Análisis de Amenazas (TAG) de Google han descubierto una vulnerabilidad de día cero en el navegador Internet Explorer (IE) explotada por un conocido actor de amenazas norcoreano.

En una entrada de blog en la que se detallan sus hallazgos, el grupo afirma haber descubierto al grupo APT37 (también conocido como Erebus), dirigido a personas de Corea del Sur con un archivo de Microsoft Word convertido en arma.

El archivo se titula "221031 Seoul Yongsan Itaewon accident response situation (06:00).docx", en referencia a la reciente tragedia que tuvo lugar en Itaewon, Seúl, durante la celebración de Halloween de este año, en la que al menos 158 personas perdieron la vida y otras 200 resultaron heridas. Al parecer, los atacantes querían aprovecharse de la atención pública y mediática que suscitó el incidente.

Aprovechándose de los viejos fallos

Tras analizar el documento distribuido, TAG descubrió que descargaba una plantilla remota de archivo de texto enriquecido (RTF) en el endpoint de destino, que a su vez captura contenido HTML remoto. Puede que Microsoft haya retirado Internet Explorer y lo haya sustituido por Edge, pero Office sigue renderizando contenido HTML con IE, un hecho conocido del que los actores de amenazas llevan abusando al menos desde el 2017, según TAG.

Ahora que Office renderiza contenido HTML con IE, los atacantes pueden abusar del día cero que descubrieron en el motor JScript de IE.

El equipo descubrió el fallo en "jscript9.dll", el motor JavaScript de Internet Explorer, que permitía a los actores de amenazas ejecutar código arbitrario al renderizar un sitio web bajo su control.

Microsoft recibió el aviso el 31 de octubre del 2022, tres días más tarde el fallo se etiquetó como CVE-2022-41128 y el 8 de noviembre se publicó un parche.

Aunque el proceso hasta ahora sólo compromete el dispositivo, TAG no descubrió con qué fin. No encontró la carga útil final de APT37 para esta campaña, dijo, pero añadió que el grupo fue observado en el pasado distribuyendo malware como Rokrat, Bluelight o Dolphin.

Fuente: The Verge

Antonio Romero

Editor en TechRadar España de día, guitarrista de blues y friki de los cómics de noche. ¿O era al revés?

Aportaciones de