Logotipo de Internet Explorer incrustado en la bandera de Corea del Norte
Agrandar / APT37, un grupo que se cree que cuenta con el apoyo del gobierno de Corea del Norte, ha explotado con éxito partes de Internet Explorer que aún existen en varias aplicaciones basadas en Windows.

Aurich Lawson | imágenes falsas

El navegador Edge de Microsoft ha reemplazado a Internet Explorer en casi todos los sentidos, pero quedan algunas excepciones. Uno de ellos, en lo profundo de Microsoft Word, fue explotado por un grupo respaldado por Corea del Norte este otoño, afirman los investigadores de seguridad de Google.

No es la primera vez que APT37, respaldado por el gobierno, se aprovecha de la presencia continua de Internet Explorer, señala el Grupo de análisis de amenazas (TAG) de Google en una publicación de blog. APT37 ha tenido un éxito repetido al atacar a periodistas y activistas de Corea del Sur, así como a desertores de Corea del Norte, a través de un camino limitado pero aún exitoso de Internet Explorer.

El último exploit se dirigió a aquellos que visitaron Daily NK, un sitio web de Corea del Sur dedicado a las noticias de Corea del Norte. Esto se refería a la carrera masiva de Halloween en Itaewon, en la que murieron al menos 151 personas. Un documento de Microsoft Word .docx, nombrado como si fuera la hora y fechado menos de dos días después del incidente y etiquetado como «Situación de respuesta al accidente», comenzó a circular. Los usuarios de Corea del Sur comenzaron a enviar el documento a VirusTotal de Google, donde se marcó como CVE-2017-0199, una vulnerabilidad conocida desde hace mucho tiempo en Word y WordPad.

El documento en cuestión supuestamente está relacionado con una estampida mortal en Itaewon, Corea del Sur, a fines de octubre.
Agrandar / El documento en cuestión supuestamente está relacionado con una estampida mortal en Itaewon, Corea del Sur, a fines de octubre.

Al igual que en abril de 2017, cuando hace clic en él para permitir que Word/WordPad lo vea fuera de la «Vista protegida» sin descargarlo, el documento descarga una plantilla de texto enriquecido de un servidor controlado por un atacante y luego toma más HTML que parece plantillas enriquecidas para formatos de texto. Office y WordPad usan Internet Explorer para convertir HTML en lo que Microsoft llama «archivos especialmente diseñados» y luego permitir que los atacantes inyecten varias cargas útiles de malware. Aunque parcheado en el mismo mes, la vulnerabilidad persistió; fue uno de los vectores explotados en una ola de Petya más de un año después.

La vulnerabilidad específica está relacionada con el motor JavaScript de Internet Explorer. Un error de optimización justo a tiempo genera confusión en el tipo de datos y escrituras en la memoria. Este exploit en particular también se limpió después de sí mismo, eliminando el caché de Internet Explorer y el historial de su presencia. Si bien el TAG de Google no sabe qué cargas útiles se entregaron, APT37 ha hecho circular previamente exploits que activaron BLUELIGHT, ROKRAT y DOLPHIN, todos los cuales se centraron en los intereses políticos y económicos de Corea del Norte. (Sin embargo, los piratas informáticos de Corea del Norte no son reacios a un exploit de Chrome).

Microsoft ha parcheado el exploit específico en su motor JScript, pero este es el quinto año de ataques remotos de código Word Doc, parece que seguirán existiendo por un tiempo más. Y los actores norcoreanos estarán ansiosos por responder.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí