I ricercatori del team TAG (Threat Analysis Group) di Google hanno comunicato di aver scoperto una serie di attacchi informatici sferrati con il preciso obiettivo di aggredire obiettivi sensibili.
Gli esperti di TAG spiegano di aver rilevato nelle scorse settimane un file RTF malevolo che provoca il rendering di contenuti utilizzando Internet Explorer, browser che in tante installazioni di Windows continua a essere presente “dietro le quinte” seppur rimpiazzato con Microsoft Edge.
Microsoft ha confermato il ritiro di Internet Explorer dal 15 giugno 2022: tuttavia, il browser non è stato eradicato da Windows e continua a restare celato “nell’ombra”. Soltanto con un aggiornamento che verrà in futuro distribuito attraverso Windows Update, Microsoft spiega che potrebbe disattivare completamente il vecchio Internet Explorer.
Facendo leva sul fatto che Internet Explorer è ancora “vivo e vegeto”, i criminali informatici hanno addirittura una vulnerabilità zero-day del tutto sconosciuta sia a Microsoft che agli altri esperti di sicurezza per provocare l’esecuzione di codice arbitrario sulla macchina della vittima.
TAG spiega che il codice exploit sarebbe stato messo a punto da APT37, un noto gruppo di criminali informatici nordcoreani tra quelli più sorvegliati. Questi gruppi sono infatti in grado di sviluppare Advanced Persistent Threat (APT, appunto) ovvero pericolose minacce che possono contare su importanti investimenti sia in termini di esborsi economici che di risorse umane. Gli APT sono di solito messi a punto su richiesta di attori statali che agiscono per motivazioni politiche, economiche o di cyberspionaggio.
In questo caso gli aggressori hanno preso di mira Internet Explorer perché il vecchio browser Microsoft è privo di tutte le misure di sicurezza più avanzate che sono state introdotte in Edge e resta perciò uno dei migliori candidati per individuare falle zero-day efficaci e con sforzi tutto sommato limitati.
Il problema di sicurezza in questione, che nessuno conosceva, è stato quindi utilizzato per lanciare attacchi mirati estremamente efficaci.
Ma chi è che usa ancora Internet Explorer come browser predefinito? Pochi. Eppure, come abbiamo ricordato in altri articoli, la sola presenza sul sistema di questo browser è assai scomoda e può facilitare attacchi informatici come quello di specie.
Il file RTF malevolo individuato in rete dal team TAG, infatti, dispone il caricamento del codice nocivo utile a sfruttare la falla zero-day anche quando Internet Explorer non è impostato come browser predefinito.
Nel frattempo, Microsoft ha provveduto a risolvere la vulnerabilità a cui è stato assegnato l’identificativo CVE-2022-41128 (patch di novembre 2022). Nel bollettino di sicurezza l’azienda di Redmond accredita infatti Benoît Sevens e Clément Lecigne di Google TAG ringraziando gli esperti per il lavoro svolto.
Il consiglio è quello di premere Windows+R
sul proprio sistema, digitare optionalfeatures
e disattivare la casella Internet Explorer per “neutralizzare” il vecchio browser Microsoft.
Inoltre, è possibile bloccare Internet Explorer con una policy Microsoft che può essere eventualmente distribuita in azienda anche via GPO tramite Active Directory. In questo modo si può impedire l’uso di Internet Explorer come browser autonomo.
Da ultimo vale la pena evidenziare che nonostante Microsoft abbia assicurato gli utenti circa l’assenza dello storico browser dal suo sistema operativo più recente, Internet Explorer è ancora presente in Windows 11 e risulta addirittura avviabile con un normale account utente.