.
Hacker mãos digitando em um laptop Imagem: Getty
O Google preencheu os espaços em branco sobre uma curiosa falha de dia zero que a Microsoft abordou em seu Patch Tuesday de novembro.
A falha de execução remota de código, rastreada como CVE-2022-41128, estava em uma de suas linguagens de script JavaScript do Windows, JScript9 – o mecanismo JavaScript usado no IE11. O bug afetou o Windows 7 até o Windows 11, bem como o Windows Server 2008 até 2022.
A Microsoft encerrou o suporte para o IE11 em 15 de junho de 2022 e tem incentivado os clientes a usar o Edge em vez do ‘modo IE’, mas o Google descobriu que esse tipo de bug do IE continua a ser explorado em documentos do Office porque o mecanismo do IE permanece integrado ao Office.
E quem foram os atores por trás do exploit recém-descoberto para o legado do IE 11?
De acordo com os membros do TAG Clement Lecigne (que relatou a falha à Microsoft) e Benoit Sevens, o exploit do IE foi desenvolvido pelos atores norte-coreanos APT37.
Os invasores distribuíram a exploração do IE em um documento do Office porque, como explica o TAG, o Office renderiza o conteúdo HTML usando o IE. As explorações do IE são fornecidas pelo Office desde 2017 por esse motivo, porque mesmo que o Chrome seja definido como padrão, o Office assume como padrão o mecanismo do IE quando encontra HTML ou conteúdo da Web.
“Entregar explorações do IE por meio desse vetor tem a vantagem de não exigir que o alvo use o Internet Explorer como seu navegador padrão, nem encadear a exploração com uma fuga de sandbox do EPM”, observam os analistas de ameaças.
Eles também observam que isso é muito semelhante ao bug, CVE-2021-34480, que o Google Project Zero (GPZ) encontrou no ano passado no compilador JIT do IE 11. A análise da GPZ da nova falha do IE também a rastreou ao compilador JIT do IE.
Na época, o pesquisador do GPZ, Ivan Fratric, observou que, embora a Microsoft tivesse encerrado o suporte ao IE 11, o IE (ou o mecanismo do IE) ainda estava integrado a outros produtos, principalmente o Microsoft Office. Devido a essa integração ainda existente, Fratric se perguntou quanto tempo levaria até que os invasores parassem de abusar dela.
A TAG observa que em um cenário típico quando uma exploração do IE é entregue em um documento do Office, o usuário teria que desabilitar o Office Protected View antes que o RTF remoto fosse buscado.
A TAG não encontrou a carga útil final para esta campanha, no entanto, eles observaram que o APT37 (também conhecido como ScarCruft e Reaper) usou vários implantes como ROKRAT, BLUELIGHT e DOLPHIN.
“Os implantes APT37 normalmente abusam de serviços de nuvem legítimos como um canal C2 e oferecem recursos típicos da maioria dos backdoors”, observa TAG.
A TAG também elogiou a Microsoft pelo patch rápido, que foi entregue oito dias depois que o Google analisou pela primeira vez o arquivo malicioso do Office do VirusTotal.
.
