Google, Kasım Yaması Salı günü Microsoft tarafından yamalanan ilginç bir sıfır gün kusurundaki boşlukları doldurdu.
olarak bilinen uzaktan kod yürütme güvenlik açığı CVE-2022-41128, Windows JavaScript betik dillerinden biri olan, Internet Explorer 11’de (IE11) kullanılan JavaScript motoru JScript9 ile ilgiliydi. Güvenlik kusuru, 7’den 11’e kadar Windows sürümlerini ve 2008’den 2022’ye kadar Windows Server’ı etkiler.
Internet Explorer, 15 Haziran’dan bu yana Microsoft tarafından artık desteklenmemektedir. O zamandan beri yazılım devi, müşterilerini eski tarayıcı yerine Edge ve IE modunu kullanmaya teşvik ediyor. Yine de Google, Office belgelerinde IE ile ilgili güvenlik açıklarından yararlanmaya devam edildiğini tespit etti. Gerçekten de, IE motoru ofis paketine entegre olmaya devam ediyor.
Bu güvenlik açığını kim kullanıyor?
Açıklığı Microsoft’a bildiren Clément Lecigne ve Google TAG’den (Tehdit Analizi Grubu) Benoit Sevens’e göre, istismar Kuzey Koreli bilgisayar korsanları APT37 tarafından geliştirildi.
TAG, saldırganların açığı bir Office belgesi aracılığıyla yaymayı seçtiklerini, çünkü ofis paketinin HTML içeriğini IE kullanarak işlediğini açıklıyor. 2017’den itibaren, IE kullanan açıklardan yararlanmalar genellikle aynı nedenle Office aracılığıyla iletilir: Chrome’u varsayılan tarayıcınız olarak ayarlasanız bile, HTML veya web içeriğiyle karşılaşıldığında Office varsayılan olarak Internet Explorer’ı kullanmaya devam edecektir.
Araştırmacılar, “Bu vektör aracılığıyla IE açıklarından yararlanmanın, hedefin varsayılan tarayıcı olarak Internet Explorer’ı kullanmasını gerektirmeme veya açıktan yararlanmayı bir EPM sanal alan kaçışıyla zincirlememe avantajına sahip olduğunu” belirtiyorlar.
Geçen yıl keşfedilen başka bir güvenlik açığına benzer
Araştırmacılar ayrıca bu istismarın, Google Project Zero (GPZ) tarafından geçen yıl IE11’in JIT derleyicisinde keşfedilen CVE-2021-34480 güvenlik açığına çok benzediğine dikkat çekti. L’IE kusurunda GPZ analizi ayrıca IE’nin JIT derleyicisini tanımladı.
O sırada GPZ araştırmacısı Ivan Fratric, Microsoft’un IE11 desteğini sonlandırmasına rağmen, IE’nin (veya IE motorunun) Microsoft Office de dahil olmak üzere diğer ürünlerle entegre olmaya devam ediyor. Hâlâ var olan bu entegrasyon nedeniyle araştırmacı, saldırganların onu kötüye kullanmayı bırakmasının ne kadar süreceğini merak etti.
Kontrollerde APT37
TAG araştırmacıları, tipik bir senaryoda, bir Office belgesi tarafından bir IE istismarı gönderildiğinde, kullanıcının uzak RTF alınmadan önce Office Korumalı Görünümü devre dışı bırakması gerektiğine dikkat çekiyor.
Google’ın Tehdit Analizi Grubu, bu kampanya için nihai yükü bulamamakla birlikte, APT37’nin (ScarCruft ve Reaper olarak da bilinir) aşağıdakiler gibi birkaç implant kullandığına dikkat çekiyor: ROKRAT, MAVİ IŞIK ve YUNUS. “APT37 implantları tipik olarak bir C2 kanalı gibi yasal bulut hizmetlerini kullanır ve çoğu arka kapıya özgü yetenekler sağlar. »
TAG ayrıca Microsoft’u, kötü niyetli Office dosyasının VirusTotal’dan ilk kez taranmasından sekiz gün sonra teslim edilen düzeltme hızından ötürü övdü.
Kaynak : ZDNet.com