TAG идентифицировал Internet Explorer 0-day

Уязвимость находится в «jscript9.dll», движке JavaScript Internet Explorer, и может быть использована для выполнения произвольного кода при отображении веб-сайта, контролируемого злоумышленниками. Сама ошибка представляет собой неверную проблему JIT-оптимизации, приводящую к путанице типов, и очень похожа на CVE-2021-34480, которая была обнаружена Project Zero и исправлена ​​в 2021 году. TAG сообщил об уязвимости Microsoft 31 октября 2022 года, а метка CVE-2022-41128 была присвоена 3 ноября 2022 г. Уязвимость была исправлена ​​8 ноября 2022 г.

Анализ эксплойта

В типичном сценарии доставки к исходному документу будет применена отметка Web. Это означает, что пользователь должен отключить защищенный просмотр перед получением удаленного шаблона RTF.

Пользователь должен отключить защищенный просмотр

При доставке удаленного RTF веб-сервер устанавливает уникальный файл cookie в ответе, который отправляется снова при запросе удаленного содержимого HTML. Это, вероятно, обнаруживает прямые выборки кода эксплойта HTML, которые не являются частью реального заражения.

JavaScript эксплойта также проверяет, установлен ли файл cookie перед запуском эксплойта. Кроме того, он дважды сообщает C2-серверу: перед запуском эксплойта и после успешного эксплойта.

TAG также выявила другие документы, которые, вероятно, используют ту же уязвимость и с аналогичным таргетингом, которые могут быть частью той же кампании. Более подробную информацию об этих документах можно найти в разделе «Показатели» ниже.

Доставленный шеллкод использует специальный алгоритм хеширования для разрешения API Windows. Шелл-код стирает все следы эксплуатации, очищая кеш и историю Internet Explorer перед загрузкой следующего этапа. Следующий этап загружается с использованием того же файла cookie, который был установлен при доставке сервером удаленного RTF.

Хотя мы не восстановили финальную полезную нагрузку для этой кампании, ранее мы наблюдали, как та же группа доставляла различные имплантаты, такие как ROKRAT , BLUELIGHT и DOLPHIN . Имплантаты APT37 обычно используют законные облачные сервисы в качестве канала C2 и предлагают возможности, типичные для большинства бэкдоров.

Выводы

TAG стремится делиться исследованиями, чтобы повысить осведомленность о злоумышленниках, таких как APT37, в сообществе безопасности, а также среди компаний и отдельных лиц, которые могут стать мишенью. Улучшая понимание тактики и методов таких субъектов, мы надеемся усилить защиту всей экосистемы. Мы также будем постоянно применять эти результаты для повышения безопасности и защиты наших продуктов и продолжать эффективно бороться с угрозами и защищать пользователей, которые полагаются на наши услуги.

Было бы упущением, если бы мы не признали быструю реакцию и исправление этой уязвимости командой Microsoft.