Internet Explorer不死？黑客繼續用漏洞入侵

在今年 6 月，Microsoft 宣布不再支援 Internet Explorer，並讓 Microsoft Edge 推出兼容 IE 的版本。但最近竟發現黑客仍在尋找 IE 的漏洞，並將之利用作入侵。方法是透過電子郵件發送的 Office 檔案中，藏了一個 IE 漏洞，即使不是使用 IE 作默認瀏覽器，但仍會在 IE 中呈現這些網絡內容。

Google 早前填補了 Microsoft November Patch Tuesday 所發現的一個零日漏洞，被定為 CVE-2022-41128 的漏洞，是一個遠端執行漏洞，存在於其中一種 Windows Javascrīpt 劇本語言 Jscrīpt。該漏洞影響了 Windows 7 到 Windows 11 的 Windows Server。

雖然 Microsoft 已不再支援 Internet Explorer 及停止發布更新，但 Google 發現 IE 的漏洞仍持續在 Office 文檔中被利用，原因是 IE 引擎仍然與 Office 集成。根據向 Microsoft 報告該漏洞的 TAG 成員 Clement Lecigne 和 Benoit Sevens 的說法，IE 漏洞是由來自北韓的威脅發動者 APT37 所開發。

TAG 解釋，攻擊者在 Office 文檔發放 IE 漏洞，利用 IE 呈現 Office 的 HTML 內容。基於這個原因，由 2017 年起，漏洞一直被黑客透過 Office 利用，因為即使將 Chrome 設置為默認值，Office 在遇到 HTML 或 Web 內容時，也會默認使用 IE 開啟。

分析師指出，這個漏洞與 Google Project Zero（GPZ）去年在 IE 11 的 JIT 編譯器中發現的漏洞 CVE-2021-34480 非常相似。GPZ 對新 IE 漏洞的分析，也將其追溯到 IE 的 JIT 編譯器。當時，GPZ 研究員 Ivan Fratric 指出，雖然微軟已終止對 IE 11 的支持，但 IE 仍被融合到其他產品中，其中就包括 Microsoft Office。

TAG 指出，在典型情況下，當在 Office 文檔中傳遞 IE 漏洞時，用戶必須在獲取遠程 RTF 之前禁用 Office Protected View。TAG 暫時仍未找到此活動的最終負載，但他們指出，同時被稱為 ScarCruft 和 Reaper 的 APT37，也使用了 ROKRAT、BLUELIGHT 和 DOLPHIN 作植入。而 APT37 植入程式通常利用合法的雲服務作為 C2 通道，並提供典型的後門功能。 

資料來源：https://www.zdnet.com/article/hackers-are-still-finding-and-using-flaws-in-internet-explorer/