هکرهای کره شمالی همچنان عاشق آسیب‌پذیری‌های قدیمی اینترنت اکسپلورر هستند

مایکروسافت مرورگر اج را به‌طور کامل جایگزین اینترنت اکسپلورر کرده است، اما همچنان برخی از سازمان‌ها به استفاده از مرورگر قدیمی ردموندی‌ها ادامه می‌دهند. آن‌طور که پژوهشگران امنیتی گوگل ادعا می‌کنند، پاییز امسال گروهی هکری تحت حمایت دولت کره‌ی شمالی از یک آسیب‌پذیری موجود در اینترنت اکسپلورر سوءاستفاده کرده‌ است.

به نوشته‌ی Ars Technica، نخستین‌بار نیست که گروه هکری APT37 از محبوبیت ماندگار اینترنت اکسپلورر برای اهداف مخربش بهره می‌گیرد. APT37 پیش‌تر با موفقیت روزنامه‌نگاران و فعالان اجتماعی اهل کره‌ی جنوبی به‌همراه فراری‌های کره‌ی شمالی را هدف قرار داده بود. ظاهراً هکرها ازطریق یک آسیب‌پذیری قدیمی وارد عمل شده‌اند؛ این آسیب‌پذیری محدودیت زیادی دارد، اما حمله‌ی موفقیت‌آمیز را ممکن می‌کند.

آسیب‌پذیری اینترنت اکسپلورر به هکرهای کره‌ی شمالی امکان داده است به سایت Daily NK که در کره‌ی جنوبی فعالیت می‌کند و به اخبار کره‌ی شمالی می‌پردازد حمله کنند. هکرها یک فایل ورد با پسوند docx. برای قربانیان ارسال کردند که به حادثه‌ی تلخ مراسم هالووین ارتباط داشت، حادثه‌ای که ۱۵۱ نفر را به کام مرگ کشاند. کاربران کره‌ی جنوبی سند موردبحث را در ابزار VirusTotal گوگل ثبت کردند و این ابزار توانست آسیب‌پذیری قدیمی CVE-2017-0199 را که در ورد و وردپد وجود دارد، شناسایی کند.

فایل ورد موردبحث پس از باز شدن در خارج از حالت Protected View، یک فایل RTF ازطریق سروری ناشناس دانلود و سپس فایل‌های HTML بیشتری دریافت می‌کند که شبیه نمونه‌های RTF هستند. آفیس و ورد ذاتا از اینترنت اکسپلورر برای رندر HTML بهره می‌گیرند و آسیب‌پذیری در این مرورگر راه نفوذ به ورد را باز می‌کند. این آسیب‌پذیری اولین بار در سال ۲۰۱۷ مشاهده و سپس برطرف شد، اما ظاهراً همچنان پابرجا باقی مانده است.

آسیب‌پذیری موردبحث به موتور جاوااسکریپت مرورگر اینترنت اکسپلورر ارتباط دارد. گوگل فعلاً نمی‌داند که هکرهای کره‌ی شمالی ازطریق آسیب‌پذیری اینترنت اکسپلورر چه بدافزارهایی را به سیستم قربانیان تزریق کرده‌اند، اما همین گروه از هکرها پیش‌تر از BLUELIGHT و ROKRAT و DOLPHIN بهره گرفته‌اند.

مایکروسافت می‌گوید آسیب‌پذیری جاوااسکریپت اینترنت اکسپلورر را رفع کرده است.

منبع: زومیت