Il Threat Analysis Group (TAG) di Google ha rilevato di recente lo sfruttamento di una vulnerabilità 0-day del motore Javascript di Internet Explorer. Identificata come CVE-2022-41128, tale vulnerabilità potrebbe consentire l’esecuzione di codice remoto arbitrario.
“La campagna scoperta dagli esperti del team Google TAG è un classico esempio delle capacità di un attore nation-state che coniuga la disponibilità di zero-day exploit con classiche, quanto efficaci, tecniche di social engineering. Il gruppo a cui è stato attribuito l’attacco è noto alla comunità internazionale, in più occasioni questo attore malevolo ha indirizzato i propri sforzi contro obiettivi in Corea del Sud ed in altre occasioni ha dato prova di poter sviluppare exploit per falle zero-day in popolari sistemi, come Internet Explorer. “, commenta per Matrice Digitale Pierluigi Paganini, CEO Cybhorus.
Infatti il gruppo cyber, cui si riferisce l’esperto, sarebbe il collettivo nordcoreano APT37 noto per aver colpito già in passato politici, giornalisti e attivisti per i diritti umani e aver sfruttato con successo exploit per distribuire una varietà di malware tra cui ROKRAT, BLUELIGHT e DOLPHIN.
Il vettore d’infezione
Come descritto dal TAG, il vettore di infezione utilizzato sarebbe un documento Office (.docx) con il quale l’attaccante non sfrutterebbe macro malevole ma una vulnerabilità 0-day all’interno del motore JavaScript di Internet Explorer (file “jscript9.dll”) per eseguire codice arbitrario durante il rendering di un sito web presidiato da un utente malintenzionato.
“Il bug stesso è un problema di ottimizzazione JIT errato che porta a una confusione di tipo ed è molto simile al CVE-2021-34480, che è stato identificato da Project Zero e corretto nel 2021″ , spiegano i ricercatori del TAG.
Il documento esca in questione, sfruttando l’interesse pubblico di un tragico evento, farebbe riferimento all’incidente di Seoul avvenuto durante le celebrazioni di Halloween il 29 ottobre 2022.
La catena d’infezione
All’apertura del documento Office viene scaricato un modello RTF, il cui download grazie alle funzionalità di sicurezza Mark-of-the-Web (MOTW), introdotta da Internet Explorer, viene bloccato.
Ricordiamo che quando un file Microsoft Office viene scaricato da Internet, incluso come allegato di posta elettronica, Microsoft aggiungerà al file uno speciale flag MoTW. In tal modo quando un utente apre il documento questo verrà aperto in Visualizzazione protetta.
Qualora però l’utente disabilitasse la “Visualizzazione Protetta” per la modifica del documento, la catena di infezione invece proseguirebbe fino all’esecuzione del codice exploit HTML.
Essenziale il lavoro di ricerca ed alerting del TAG
“Fortunatamente riferiamo di uno scenario in cui tutti gli attori coinvolti hanno operato al meglio, il team di Google nel segnalare prontamente la falla a Microsoft, e l’azienda di Redmond nel rilasciare patch in tempi brevi”, continua Paganini.
“Purtroppo, nell’ultimo anno, come evidenziato da più rapporti, abbiamo assistito ad un importante incremento degli attacchi che hanno sfruttato falle zero-day in popolari software come Google Chrome, iOS e Android, ed Internet Explorer, per questo motivo il lavoro di ricerca ed alerting condotto dagli esperti del TAG è da considerarsi essenziale. L’attuale situazione geopolitica, infine, inevitabilmente intensificherà la tendenza osservata dai gruppi di ricerca internazionali che vede un aumento delle attività attribuite ad attori nation-state“.
Conclusioni
L‘ACN nel frattempo consiglia alle nostre organizzazioni di far fronte a questo tipo di minaccia con l’applicazione degli ultimi aggiornamenti Microsoft rilasciati lo scorso mese di novembre.
Il TAG per suo conto fa sapere che “si impegna a condividere la ricerca per aumentare la consapevolezza sugli attori malevoli come APT37 all’interno della comunità di sicurezza e per le aziende e gli individui che potrebbero essere presi di mira. Migliorando la comprensione delle tattiche e delle tecniche di questi tipi di attori, speriamo di rafforzare le protezioni in tutto l’ecosistema“.
La vulnerabilità è stata segnalata dal TAG il 31 ottobre 2022 ed è stata corretta da Microsoft l’8 novembre 2022.
