هکرهای کره شمالی همچنان عاشق آسیبپذیریهای قدیمی اینترنت اکسپلورر هستند
مایکروسافت مرورگر اج را بهطور کامل جایگزین اینترنت اکسپلورر کرده است، اما همچنان برخی از سازمانها به استفاده از مرورگر قدیمی ردموندیها ادامه میدهند. آنطور که پژوهشگران امنیتی گوگل ادعا میکنند، پاییز امسال گروهی هکری تحت حمایت دولت کرهی شمالی از یک آسیبپذیری موجود در اینترنت اکسپلورر سوءاستفاده کرده است.
به نوشتهی Ars Technica، نخستینبار نیست که گروه هکری APT37 از محبوبیت ماندگار اینترنت اکسپلورر برای اهداف مخربش بهره میگیرد. APT37 پیشتر با موفقیت روزنامهنگاران و فعالان اجتماعی اهل کرهی جنوبی بههمراه فراریهای کرهی شمالی را هدف قرار داده بود. ظاهراً هکرها ازطریق یک آسیبپذیری قدیمی وارد عمل شدهاند؛ این آسیبپذیری محدودیت زیادی دارد، اما حملهی موفقیتآمیز را ممکن میکند.
آسیبپذیری اینترنت اکسپلورر به هکرهای کرهی شمالی امکان داده است به سایت Daily NK که در کرهی جنوبی فعالیت میکند و به اخبار کرهی شمالی میپردازد حمله کنند. هکرها یک فایل ورد با پسوند docx. برای قربانیان ارسال کردند که به حادثهی تلخ مراسم هالووین ارتباط داشت، حادثهای که ۱۵۱ نفر را به کام مرگ کشاند. کاربران کرهی جنوبی سند موردبحث را در ابزار VirusTotal گوگل ثبت کردند و این ابزار توانست آسیبپذیری قدیمی CVE-2017-0199 را که در ورد و وردپد وجود دارد، شناسایی کند.
فایل ورد موردبحث پس از باز شدن در خارج از حالت Protected View، یک فایل RTF ازطریق سروری ناشناس دانلود و سپس فایلهای HTML بیشتری دریافت میکند که شبیه نمونههای RTF هستند. آفیس و ورد ذاتا از اینترنت اکسپلورر برای رندر HTML بهره میگیرند و آسیبپذیری در این مرورگر راه نفوذ به ورد را باز میکند. این آسیبپذیری اولین بار در سال ۲۰۱۷ مشاهده و سپس برطرف شد، اما ظاهراً همچنان پابرجا باقی مانده است.
آسیبپذیری موردبحث به موتور جاوااسکریپت مرورگر اینترنت اکسپلورر ارتباط دارد. گوگل فعلاً نمیداند که هکرهای کرهی شمالی ازطریق آسیبپذیری اینترنت اکسپلورر چه بدافزارهایی را به سیستم قربانیان تزریق کردهاند، اما همین گروه از هکرها پیشتر از BLUELIGHT و ROKRAT و DOLPHIN بهره گرفتهاند.
مایکروسافت میگوید آسیبپذیری جاوااسکریپت اینترنت اکسپلورر را رفع کرده است.
نظرات