.
Aurich Lawson | Getty Images
O navegador Edge da Microsoft substituiu o Internet Explorer em quase todos os aspectos, mas algumas exceções permanecem. Um deles, dentro do Microsoft Word, foi explorado por um grupo norte-coreano neste outono, afirmam pesquisadores de segurança do Google.
Não é a primeira vez que o APT37, apoiado pelo governo, utiliza a presença persistente do Internet Explorer, como observa o Threat Analysis Group (TAG) do Google em uma postagem no blog. O APT37 teve sucesso repetido visando jornalistas e ativistas sul-coreanos, além de desertores norte-coreanos, por meio de um caminho limitado, mas ainda bem-sucedido, do Internet Explorer.
A última exploração teve como alvo aqueles que se dirigiam ao Daily NK, um site sul-coreano dedicado às notícias norte-coreanas. Este envolveu a multidão de Halloween em Itaewon, que matou pelo menos 151 pessoas. Um documento .docx do Microsoft Word, nomeado como se tivesse sido cronometrado e datado menos de dois dias após o incidente e rotulado como “situação de resposta a acidentes”, começou a circular. Os usuários sul-coreanos começaram a enviar o documento para o VirusTotal, de propriedade do Google, onde foi sinalizado com CVE-2017-0199, uma vulnerabilidade conhecida no Word e no WordPad.
Assim como em abril de 2017, o documento, se você clicar para permitir que o Word/WordPad o visualize fora da “Visualização protegida” sem download, baixa um modelo de rich text de um servidor controlado pelo invasor e obtém mais HTML que se parece com Rich Modelos de formato de texto. O Office e o WordPad usam intrinsecamente o Internet Explorer para renderizar HTML no que a Microsoft descreve como “arquivos especialmente criados”, dando aos invasores uma maneira de trazer várias cargas de malware. Embora corrigida no mesmo mês, a vulnerabilidade persistiu; foi um dos vetores explorados em uma onda de Petya mais de um ano depois.
A vulnerabilidade específica tem a ver com o mecanismo JavaScript do Internet Explorer. Um erro durante a otimização just-in-time leva a uma confusão de tipo de dados e gravação de memória. Essa exploração em particular também se limpou, limpando o cache do Internet Explorer e o histórico de sua presença. Embora o TAG do Google não saiba quais cargas úteis foram entregues, o APT37 já circulou exploits que acionaram BLUELIGHT, ROKRAT e DOLPHIN, todos com foco nos interesses políticos e econômicos da Coreia do Norte. (No entanto, os hackers norte-coreanos não são avessos a uma exploração do Chrome.)
A Microsoft corrigiu o exploit específico em seu mecanismo JScript, mas sendo este o quinto ano de ataques de documentos do Word de código remoto, parece que eles ainda estarão por aí por mais algum tempo. E os atores norte-coreanos estarão ansiosos para atuar neles.
.
