【物盡其用】Internet Explorer不死?黑客繼續用漏洞入侵
在今年 6 月,Microsoft 宣布不再支援 Internet Explorer,並讓 Microsoft Edge 推出兼容 IE 的版本。但最近竟發現黑客仍在尋找 IE 的漏洞,並將之利用作入侵。方法是透過電子郵件發送的 Office 檔案中,藏了一個 IE 漏洞,即使不是使用 IE 作默認瀏覽器,但仍會在 IE 中呈現這些網絡內容。
Google 早前填補了 Microsoft November Patch Tuesday 所發現的一個零日漏洞,被定為 CVE-2022-41128 的漏洞,是一個遠端執行漏洞,存在於其中一種 Windows JavaScript 劇本語言 JScript。該漏洞影響了 Windows 7 到 Windows 11 的 Windows Server。
雖然 Microsoft 已不再支援 Internet Explorer 及停止發布更新,但 Google 發現 IE 的漏洞仍持續在 Office 文檔中被利用,原因是 IE 引擎仍然與 Office 集成。根據向 Microsoft 報告該漏洞的 TAG 成員 Clement Lecigne 和 Benoit Sevens 的說法,IE 漏洞是由來自北韓的威脅發動者 APT37 所開發。
TAG 解釋,攻擊者在 Office 文檔發放 IE 漏洞,利用 IE 呈現 Office 的 HTML 內容。基於這個原因,由 2017 年起,漏洞一直被黑客透過 Office 利用,因為即使將 Chrome 設置為默認值,Office 在遇到 HTML 或 Web 內容時,也會默認使用 IE 開啟。
分析師指出,這個漏洞與 Google Project Zero(GPZ)去年在 IE 11 的 JIT 編譯器中發現的漏洞 CVE-2021-34480 非常相似。GPZ 對新 IE 漏洞的分析,也將其追溯到 IE 的 JIT 編譯器。當時,GPZ 研究員 Ivan Fratric 指出,雖然微軟已終止對 IE 11 的支持,但 IE 仍被融合到其他產品中,其中就包括 Microsoft Office。
TAG 指出,在典型情況下,當在 Office 文檔中傳遞 IE 漏洞時,用戶必須在獲取遠程 RTF 之前禁用 Office Protected View。TAG 暫時仍未找到此活動的最終負載,但他們指出,同時被稱為 ScarCruft 和 Reaper 的 APT37,也使用了 ROKRAT、BLUELIGHT 和 DOLPHIN 作植入。而 APT37 植入程式通常利用合法的雲服務作為 C2 通道,並提供典型的後門功能。
資料來源:https://www.zdnet.com/article/hackers-are-still-finding-and-using-flaws-in-internet-explorer/
相關文章:【被動收入】Chrome、Edge 商店藏惡意延伸工具 騎劫搜尋結果賺廣告費