Resumen:
Una vulnerabilidad de día cero en Internet Explorer parece estar siendo explotada activamente por el grupo de amenaza norcoreano APT37.
Rastreada como CVE-2022-41128, la vulnerabilidad fue identificada en el motor JavaScript “JScript9” de Explorer y podría potencialmente permitir la ejecución de código arbitrario.
El problema fue parcheado por Microsoft en las actualizaciones de seguridad correspondientes al mes de noviembre, una semana después de su detección.
De acuerdo con los investigadores, la explotación exitosa de la vulnerabilidad requeriría que un usuario con una versión de Windows vulnerable accediera a un servidor malicioso.
Es decir, los atacantes necesitarían convencer a la víctima de visitar un servidor compartido o un sitio web especialmente diseñado para infectar su sistema.
Ahora bien, según un aviso de seguridad de Google publicado hace unos días, el popular grupo de la amenaza norcoreano, mejor conocido como APT37, utilizó una serie de documentos maliciosos de Microsoft Office para atacar a cientos de usuarios de Corea del Sur con un exploit para CVE-2022-41128.
Los documentos obtenían una plantilla remota de archivo de texto RTF, que a su vez se encargaba de descargar contenido HTML que Office renderizaría utilizando Internet Explorer.
Cuando esto sucedía, una cookie se establecía; misma que el código JavaScript más adelante ejecutado por los atacantes, comprobaba para posteriormente lanzar el exploit.
Una vez hecho esto, se entregaba un código shell que borraría cualquier rastro de la explotación mediante el borrado de la caché y del historial de Internet Explorer.
Es preciso destacar que, aún se desconoce la carga maliciosa ejecutada durante la campaña, sin embargo, los investigadores de Google creen que podría verse implicado el malware de RokRat, BLUELIGHT o inclusive Dolphin.
Por ahora no se cuenta con mayor información sobre la campaña, pero es probable que más documentos de este tipo también aprovechen el problema.
Dado que esta vulnerabilidad podría seguir siendo explotada por distintos grupos de la amenaza, se le insta a todos los usuarios a instalar la actualización de Microsoft tan pronto como les sea posible.
Recomendaciones:
Se le recomienda a todos los usuarios aplicar la corrección proporcionada por Microsoft en caso de no haberlo hecho antes.
Prácticas básicas para mitigar cualquier ataque de ciberseguridad
Mantener los dispositivos actualizados
Instalar los últimos parches disponibles
Activar la autenticación multifactor
Activar las reglas de firewall
Guardar copias de seguridad
Referencias:
https://thehackernews.com/2022/12/google-warns-of-internet-explorer-zero.html
https://www.securityweek.com/google-documents-ie-browser-zero-day-exploited-north-korean-hackers
SÍGUENOS