Internet Explorer n’est plus, mais des Pirates continueent d’exploiter ses failles

Google collects all the information for Zero-Day Corrige, just like Microsoft’s son for Patch Tuesday in November.

La vulnérabilité d’execution de code à distance, connue sous le nom de CVE-2022-41128, Windows JavaScript language, JScript9, and issues with using JavaScript in Internet Explorer 11 (IE11). A safe version that affects Windows 7 through 11 versions from Windows Server 2008 through 2022.

Internet Explorer n’est plus supporté par Microsoft depuis le 15 juin dernier. Depuis cette date, le géant du logiciel recommends ses client à utiliser Edge et le mode IE à la place du navigateur obsolète. Malgré tout, Google a consté que les failles de sécurité liées à IE continuaient d’être exploreées dans les documents Office. En effet, le moteur IE reste intégré à la suite bureautique.

Qui exploree cette faille de securité ?

Selon Clément Lecigne (qui a signalé la faille à Microsoft) et Benoit Sevens, du Google TAG (Threat Analysis Group), l’exploit a été développé par des Pirates Nord-Coréens, APT37.

Le TAG explique que les attaquants ont choisi de diffuser l’exploit par un document Office, car la suite bureautique rend le contenu HTML à l’aide d’IE. : meme si vous avez défini Chrome comme navigateur par défaut, Office utilisera toujours par défaut Internet Explorer lorsqu’il rencontre du contenu HTML ou web.

« Livrer des explores IE via ce vecteur présente l’avantage de ne pas exiger de la cible qu’elle available Internet Explorer comme navigateur par défaut, ni d’enchaîner l’exploit avec un échappement de sandbox EPM », soulignent les chercheurs.

Similaire à une autre vulnérabilité découverte l’annee dernière

Google Project Zero (GPZ) l’an dernier dans le compilateur JIT d’IE11. L’Analyze GPZ Sur La Faille Day. également permis d’identifier le compilateur JIT d’IE.

A l’époque, Ivan Fratric, chercheur au GPZ, mettait en garde sur le fait que malgré la fin de Prize en charge d’IE11 par Microsoft, IE (ou le moteur IE) était toujours intégré dans d’autres produits, notamment Microsoft OfficeEn raison de cette intégration toujours existante, le chercheur se demandait compien de temps il faudrait avant que les attaquants cesent d’en Abuser.

APT37 auxiliary commands

Les chercheurs du TAG précisent que dans un scénario typique, lorsqu’un explore IE est envoyé par un document Office, l’utilisateur doit desactiver Office Protected View avant que le RTF far ne soit récupéré.

Si le groupe d’analyse des menaces de Google n’a pas trouvé la charge utile finale de cette campagne, il souligne que APT37 (également connu sous le nom de ScarCruft et Reaper) a utilisé plusieurs inserts tels que locrat, blue light and others dolphin« Implant d’APT37 utilisent généralement des services cloud légitimes, comme un canal C2, et permettent des capacités typiques de la plupart des portes dérobées. »

Le TAG a également félicité Microsoft pour la rapidité de son correctif, qui a été livré huit jours après la première analyze du fichier Office malveillant à partir de VirusTotal.

sauce : ZDNet.com