Des chercheurs en cybersécurité du Threat Analysis Group (TAG) de Google ont découvert une vulnérabilité zero-day dans le navigateur Internet Explorer (IE) (s’ouvre dans un nouvel onglet) exploité par un acteur menaçant nord-coréen bien connu.
Dans un article de blog (s’ouvre dans un nouvel onglet) détaillant ses conclusions, le groupe a déclaré avoir repéré le groupe APT37 (AKA Erebus), ciblant des individus en Corée du Sud avec un fichier Microsoft Word armé.
Le fichier s’intitule « 221031 Seoul Yongsan Itaewon accident response situation (06:00).docx », qui fait référence à la récente tragédie qui a eu lieu à Itaewon, Séoul, lors de la célébration d’Halloween de cette année, où au moins 158 personnes ont perdu leur vies, avec 200 autres blessés. Apparemment, les assaillants voulaient profiter de l’attention du public et des médias sur l’incident.
Abuser des vieux défauts
Après avoir analysé le document en cours de distribution, TAG l’a trouvé en train de télécharger un modèle distant de fichier texte enrichi (RTF) sur le point de terminaison cible, qui récupère ensuite le contenu HTML distant. Microsoft a peut-être retiré Internet Explorer et l’a remplacé par Edge, mais Office restitue toujours le contenu HTML à l’aide d’IE, ce qui est un fait connu que les acteurs de la menace abusent depuis au moins 2017, a déclaré TAG.
Maintenant qu’Office rend le contenu HTML avec IE, les attaquants peuvent abuser du jour zéro qu’ils ont découvert dans le moteur JScript d’IE.
L’équipe a trouvé la faille dans « jscript9.dll », le moteur JavaScript d’Internet Explorer, qui permettait aux pirates d’exécuter du code arbitraire lors du rendu d’un site Web sous leur contrôle.
Microsoft a été averti le 31 octobre 2022, avec la faille étiquetée CVE-2022-41128 trois jours plus tard, et un correctif a été publié le 8 novembre.
Alors que le processus ne compromet jusqu’à présent que l’appareil, TAG n’a pas découvert à quelle fin. Il n’a pas trouvé la charge utile finale d’APT37 pour cette campagne, a-t-il déclaré, mais a ajouté que le groupe avait été observé dans le passé en train de livrer des logiciels malveillants tels que Rokrat, Bluelight ou Dolphin.
Via : The Verge (s’ouvre dans un nouvel onglet)