{"id":275801,"date":"2022-12-09T10:09:42","date_gmt":"2022-12-09T09:09:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275801"},"modified":"2022-12-09T10:31:37","modified_gmt":"2022-12-09T09:31:37","slug":"google-verffentlicht-details-zur-schwachstelle-cve-2022-41128-im-internet-explorer-wird-von-scarcruft-hackern-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/09\/google-verffentlicht-details-zur-schwachstelle-cve-2022-41128-im-internet-explorer-wird-von-scarcruft-hackern-ausgenutzt\/","title":{"rendered":"Google veröffentlicht Details zur Schwachstelle CVE-2022-41128 im Internet Explorer, wird von ScarCruft-Hackern ausgenutzt"},"content":{"rendered":"

[English<\/a>]Sicherheitsforscher der Google Threat Analysis Group (TAG) haben Details zu einer (seinerzeit 0-Day-) Schwachstelle in der JavaScript-Engine des Internet Explorer ver\u00f6ffentlicht, die am 31. Oktober 2022 entdeckt wurde. Dieser 0-Day wurde von nordkoreanischen Hackern wohl aktiv ausgenutzt, um Ziele in S\u00fcdkorea \u00fcber kompromittierte Word-Dokumente anzugreifen. Die Schwachstelle CVE-2022-41128 wird mit Microsofts Sicherheitupdates f\u00fcr Windows vom 8. November 2022 (Patchday) geschlossen.<\/p>\n

<\/p>\n

0-Day-Schwachstelle entdeckt<\/h2>\n

\"\"Die Google Threat Analysis Group sucht regelm\u00e4\u00dfig in Software nach 0-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden. Ende Oktober 2022 ist das Team um Beno\u00eet Sevens und Cl\u00e9ment Lecigne auf eine solche Schwachstelle in Microsofts Internet Explorer gesto\u00dfen. Eine von der nordkoreanischen Regierung unterst\u00fctzten Gruppe (APT37, auch als ScarCruft, InkySquid, Reaper und Ricochet Chollim bekannt) nutzte die Schwachstelle, um \u00fcber b\u00f6sartigen Code, der in Dokumente eingebettet wurde, Nutzer in S\u00fcdkorea anzugreifen.<\/p>\n

Schwachstelle im November 2022 gepatcht<\/h2>\n

Diese b\u00f6sartigen Dokumente nutzten eine (damals noch ungepatchted 0-Day-Schwachstelle CVE-2022-41128 in der JScript-Engine des Internet Explorer aus. Innerhalb weniger Stunden nach der Entdeckung dieser 0-Day-Schwachstelle meldeten die Sicherheitsforscher diese Schwachstelle an Microsoft. Zum 8. November 2022 hat Microsoft dann diese Schwachstelle geschlossen (siehe Microsoft Security Update Summary (8. November 2022)<\/a>). Die betreffenden Windows-Updates vom November 2022 Patchday (siehe Links am Artikelende) sch\u00fctzen die Benutzer vor diesen Angriffen.<\/p>\n

Details von Google ver\u00f6ffentlicht<\/h2>\n

Nun hat das Google-Team zum 7. Dezember 2022 seine Entdeckung im Blog-Beitrag Internet Explorer 0-day exploited by North Korean actor APT37<\/a> offen gelegt. Aufgefallen ist diese 0-day-Schwachstelle, weil gleich mehrere Nutzer aus S\u00fcdkorea zum 31. Oktober 2022 ein Microsoft Office-Dokument mit dem Titel \"221031 Seoul Yongsan Itaewon accident response situation (06:00).docx\" auf VirusTotal hochluden<\/a>. Inzwischen erkennen viele Virenscanner den b\u00f6sartigen Code (siehe Abbildung).<\/p>\n

\"VirusTotal<\/p>\n

Das Dokument bezieht sich auf den tragischen Vorfall in der Umgebung von Itaewon in Seoul, S\u00fcdkorea. Dort kamen w\u00e4hrend der Halloween-Feierlichkeiten am 29. Oktober 2022 viele Menschen ums Leben. Der Vorfall f\u00fchrte zu vielen Berichten in den Medien und der K\u00f6der in Form des Word-Dokuments nutzt das gro\u00dfe Interesse der \u00d6ffentlichkeit an diesem Ereignis aus.<\/p>\n

Das Dokument lud eine RTF-Vorlage (Rich Text File) aus dem Internet, die wiederum Remote HTML-Inhalte abruft. Da Office diese HTML-Inhalte mit Internet Explorer (IE) wiedergibt, wird diese Technik seit 2017 h\u00e4ufig verwendet, um IE-Exploits \u00fcber Office-Dateien zu verbreiten (z. B. CVE-2017-0199). Die Verbreitung von IE-Exploits \u00fcber diesen Vektor hat den Vorteil, dass das angegriffene Ziel\/Opfer weder den Internet Explorer als Standardbrowser verwenden noch den Exploit mit einem EPM-Sandbox-Escape verketten muss.<\/p>\n

Bei der Untersuchung der verd\u00e4chtigen Datei stellten die Sicherheitsforscher der Google Threat Analysis Group (TAG) fest, dass die Angreifer eine 0-Day-Schwachstelle in der JScript-Engine (Datei jscript9.dll<\/em>) des Internet Explorer ausnutzten. Ein fehlerhaftes JIT-Optimierungsproblem, das zu einer Typenverwechslung f\u00fchrt, l\u00e4sst sich ausnutzen, um beliebigen Code auszuf\u00fchren, wenn eine von einem Angreifer kontrollierte Website gerendert wird.<\/p>\n

Die Details der Analyse sowie die Indicators of Compromise (IoCs) sind im Google Blog-Beitrag<\/a> beschrieben. Die Google TAG meldete die Schwachstelle am 31. Oktober 2022 an Microsoft, und am 3. November 2022 wurde die Bezeichnung CVE-2022-41128 vergeben. Die Sicherheitsl\u00fccke wurde dann zeitnah am 8. November 2022 gepatcht. (via<\/a>)<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nPatchday: Windows 10-Updates (8. November 2022)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (8. November 2022)<\/a>
\nWindows 7\/Server 2008 R2; Windows 8.1\/Server 2012 R2: Updates (8. November 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher der Google Threat Analysis Group (TAG) haben Details zu einer (seinerzeit 0-Day-) Schwachstelle in der JavaScript-Engine des Internet Explorer ver\u00f6ffentlicht, die am 31. Oktober 2022 entdeckt wurde. Dieser 0-Day wurde von nordkoreanischen Hackern wohl aktiv ausgenutzt, um Ziele in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4295,8350,4328,4315],"class_list":["post-275801","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-internet-explorer","tag-patchday-11-2022","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275801"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275801\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}