Aurich Lawson | Getty Resimleri
Microsoft’un Edge tarayıcısı, neredeyse her açıdan Internet Explorer’ın yerini almıştır, ancak bazı istisnalar devam etmektedir. Google güvenlik araştırmacıları, Microsoft Word’ün derinliklerinde bulunanlardan birinin bu sonbaharda Kuzey Kore destekli bir grup tarafından istismar edildiğini iddia ediyor.
Google’ın Tehdit Analizi Grubu’nun (TAG) bir blog gönderisinde belirttiği gibi, devlet destekli APT37, Internet Explorer’ın varlığını ilk kez kullanmıyor. APT37, sınırlı ama yine de başarılı bir Internet Explorer yolu aracılığıyla Güney Koreli gazetecileri ve aktivistleri ve ayrıca Kuzey Koreli sığınmacıları hedef alan başarıyı tekrarladı.
Son istismar, Kuzey Kore haberlerine adanmış bir Güney Kore sitesi olan Daily NK’ya gidenleri hedef aldı. Bu, Itaewon’da en az 151 kişiyi öldüren Cadılar Bayramı kalabalığını içeriyordu. Zamanı ve tarihi olaydan iki günden daha kısa bir süre sonraymış gibi adlandırılan ve “kaza müdahale durumu” etiketli bir Microsoft Word .docx belgesi ortalıkta dolaşmaya başladı. Güney Koreli kullanıcılar belgeyi, Word ve WordPad’de uzun zamandır bilinen bir güvenlik açığı olan CVE-2017-0199 ile işaretlendiği Google’ın sahibi olduğu VirusTotal’a göndermeye başladı.
Nisan 2017’de olduğu gibi, belgeyi tıklayarak Word/WordPad’in indirilmeyen “Korumalı Görünüm” dışında görüntülemesine izin verirseniz, saldırganın kontrolündeki bir sunucudan bir zengin metin şablonu indirir ve ardından Zengin gibi görünen daha fazla HTML alır. Metin Biçimi şablonları. Office ve WordPad, HTML’yi Microsoft’un “özel hazırlanmış dosyalar” olarak tanımladığı şekilde işlemek için doğası gereği Internet Explorer’ı kullanır ve saldırganlara daha sonra çeşitli kötü amaçlı yazılım yüklerini getirmeleri için bir yol sağlar. Güvenlik açığı aynı ay yamalanırken devam etti; bir yıldan fazla bir süre sonra bir Petya dalgasında istismar edilen vektörlerden biriydi.
Belirli güvenlik açığı, Internet Explorer’ın JavaScript motoruyla ilgilidir. Tam zamanında optimizasyon sırasındaki bir hata, veri tipi karışıklığına ve bellek yazılmasına yol açar. Bu özel istismar, Internet Explorer önbelleğini ve varlığının geçmişini temizleyerek kendi kendine de temizlendi. Google’ın TAG’ı hangi yüklerin teslim edildiğini bilmese de, APT37 daha önce tümü Kuzey Kore’nin siyasi ve ekonomik çıkarlarına odaklanan BLUELIGHT, ROKRAT ve DOLPHIN’i tetikleyen istismarları dağıtmıştı. (Yine de Kuzey Koreli bilgisayar korsanları bir Chrome açıklarından yararlanmaya karşı değiller.)
Microsoft, JScript motorunda belirli bir açıktan yararlanmaya yama yaptı, ancak bu, uzaktan kodlu Word doc saldırılarının beşinci yılı olduğundan, bir süre daha ortalıkta olacak gibi görünüyor. Ve Kuzey Koreli aktörler onlar üzerinde oynamak için can atacaklar.
