Közös jelentés a Microsoft Zero-Day böngésző sérülékenységéről (CVE-2024-38178)
Az AhnLab SEcurity Intelligence Center (ASEC) és a dél-koreai Nemzeti Kiberbiztonsági Központ (NCSC) új zero-day sérülékenységet azonosított a Microsoft Internet Explorer (IE) böngészőben, és részletes elemzést készített a sérülékenységet kihasználó támadásokról. Közös bejegyzésükben megosztják az „Operation Code on Toast by TA-RedAnt” című elemzésüket, amely részletezi az ASEC és az NCSC közös megállapításait és a fenyegetésre adott válaszokat.
A jelentés szerint a művelet mögött az észak-koreai TA-RedAnt (más néven RedEyes, ScarCruft, Group123, APT37) kiberszereplő áll. Korábban már célba vettek konkrét személyeket, például észak-koreai disszidenseket és észak-koreai ügyekkel foglalkozó szakértőket e-mailek, Android alkalmazáscsomag-fájl (.apk) és IE sérülékenységek segítségével. Az elemzett művelet egy zero-day sérülékenységet használt ki az IE-ben, hogy egy bizonyos toast reklámprogramot használjon, amelyet különböző ingyenes szoftverek mellé telepítenek. (A toast a képernyő alján (általában jobb alsó részén) megjelenő felugró értesítés típusa.)
Sok toast reklámprogram a WebView nevű funkciót használja a webes tartalom megjelenítésére a hirdetések megjelenítéséhez. A WebView azonban egy böngésző alapján működik. Ezért, ha a program készítője IE-alapú WebView-t használt a kód megírásához, az IE sérülékenységeit is ki lehet használni a programban. Ennek eredményeképpen a TA-RedAnt kihasználta azokat a toast reklámprogramokat, amelyek a sérülékeny IE böngészőmotort (jscript9.dll) – amely már nem támogatott – használták. A Microsoft 2022 júniusában megszüntette az IE támogatását. Folyamatosan fedeznek fel azonban olyan támadásokat, amelyek egyes, még mindig IE-t használó Windows-alkalmazásokat céloznak, ezért a szervezeteknek és a felhasználóknak különösen óvatosnak kell lenniük, és frissíteniük kell rendszereiket a legújabb biztonsági javításokkal.