Google veröffentlicht Details zur Schwachstelle CVE-2022-41128 im Internet Explorer, wird von ScarCruft-Hackern ausgenutzt

Publiziert am 9. Dezember 2022 von Günter Born

[English]Sicherheitsforscher der Google Threat Analysis Group (TAG) haben Details zu einer (seinerzeit 0-Day-) Schwachstelle in der JavaScript-Engine des Internet Explorer veröffentlicht, die am 31. Oktober 2022 entdeckt wurde. Dieser 0-Day wurde von nordkoreanischen Hackern wohl aktiv ausgenutzt, um Ziele in Südkorea über kompromittierte Word-Dokumente anzugreifen. Die Schwachstelle CVE-2022-41128 wird mit Microsofts Sicherheitupdates für Windows vom 8. November 2022 (Patchday) geschlossen.

Anzeige

0-Day-Schwachstelle entdeckt

Die Google Threat Analysis Group sucht regelmäßig in Software nach 0-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden. Ende Oktober 2022 ist das Team um Benoît Sevens und Clément Lecigne auf eine solche Schwachstelle in Microsofts Internet Explorer gestoßen. Eine von der nordkoreanischen Regierung unterstützten Gruppe (APT37, auch als ScarCruft, InkySquid, Reaper und Ricochet Chollim bekannt) nutzte die Schwachstelle, um über bösartigen Code, der in Dokumente eingebettet wurde, Nutzer in Südkorea anzugreifen.

Schwachstelle im November 2022 gepatcht

Diese bösartigen Dokumente nutzten eine (damals noch ungepatchted 0-Day-Schwachstelle CVE-2022-41128 in der JScript-Engine des Internet Explorer aus. Innerhalb weniger Stunden nach der Entdeckung dieser 0-Day-Schwachstelle meldeten die Sicherheitsforscher diese Schwachstelle an Microsoft. Zum 8. November 2022 hat Microsoft dann diese Schwachstelle geschlossen (siehe Microsoft Security Update Summary (8. November 2022)). Die betreffenden Windows-Updates vom November 2022 Patchday (siehe Links am Artikelende) schützen die Benutzer vor diesen Angriffen.

Details von Google veröffentlicht

Nun hat das Google-Team zum 7. Dezember 2022 seine Entdeckung im Blog-Beitrag Internet Explorer 0-day exploited by North Korean actor APT37 offen gelegt. Aufgefallen ist diese 0-day-Schwachstelle, weil gleich mehrere Nutzer aus Südkorea zum 31. Oktober 2022 ein Microsoft Office-Dokument mit dem Titel "221031 Seoul Yongsan Itaewon accident response situation (06:00).docx" auf VirusTotal hochluden. Inzwischen erkennen viele Virenscanner den bösartigen Code (siehe Abbildung).

VirusTotal document

Das Dokument bezieht sich auf den tragischen Vorfall in der Umgebung von Itaewon in Seoul, Südkorea. Dort kamen während der Halloween-Feierlichkeiten am 29. Oktober 2022 viele Menschen ums Leben. Der Vorfall führte zu vielen Berichten in den Medien und der Köder in Form des Word-Dokuments nutzt das große Interesse der Öffentlichkeit an diesem Ereignis aus.

Das Dokument lud eine RTF-Vorlage (Rich Text File) aus dem Internet, die wiederum Remote HTML-Inhalte abruft. Da Office diese HTML-Inhalte mit Internet Explorer (IE) wiedergibt, wird diese Technik seit 2017 häufig verwendet, um IE-Exploits über Office-Dateien zu verbreiten (z. B. CVE-2017-0199). Die Verbreitung von IE-Exploits über diesen Vektor hat den Vorteil, dass das angegriffene Ziel/Opfer weder den Internet Explorer als Standardbrowser verwenden noch den Exploit mit einem EPM-Sandbox-Escape verketten muss.

Bei der Untersuchung der verdächtigen Datei stellten die Sicherheitsforscher der Google Threat Analysis Group (TAG) fest, dass die Angreifer eine 0-Day-Schwachstelle in der JScript-Engine (Datei jscript9.dll) des Internet Explorer ausnutzten. Ein fehlerhaftes JIT-Optimierungsproblem, das zu einer Typenverwechslung führt, lässt sich ausnutzen, um beliebigen Code auszuführen, wenn eine von einem Angreifer kontrollierte Website gerendert wird.

Die Details der Analyse sowie die Indicators of Compromise (IoCs) sind im Google Blog-Beitrag beschrieben. Die Google TAG meldete die Schwachstelle am 31. Oktober 2022 an Microsoft, und am 3. November 2022 wurde die Bezeichnung CVE-2022-41128 vergeben. Die Sicherheitslücke wurde dann zeitnah am 8. November 2022 gepatcht. (via)

Anzeige

Ähnliche Artikel:
Patchday: Windows 10-Updates (8. November 2022)
Patchday: Windows 11/Server 2022-Updates (8. November 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (8. November 2022)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Internet Explorer, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Google veröffentlicht Details zur Schwachstelle CVE-2022-41128 im Internet Explorer, wird von ScarCruft-Hackern ausgenutzt

  1. Singlethreaded sagt:
    9. Dezember 2022 um 13:00 Uhr

    Mit dem Screenshot von oben stellt sich mir die Frage ob zum Ausnutzen des Vektors initial VBA benötigt wird? Funktioniert der Exploit auch, wenn VBA-Markos deaktiviert bzw. nur Code mit gültiger Signatur ausgeführt werden darf?

    Antworten
  2. Oliver L. sagt:
    13. Dezember 2022 um 13:14 Uhr

    Mit höchster Wahrscheinlichkeit nicht. Also sind wie üblich vor allem die gefährdet, die Standard-Sicherheitseinstellungen ändern oder veraltete Software einsetzen.

    Antworten

Schreibe einen Kommentar zu Singlethreaded Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.