Microsoft mag eerder dit jaar dan afscheid van Internet Explorer hebben genomen, Zuid-Koreaanse gebruikers van de browser zijn eind oktober nog het doelwit van een zeroday-aanval geworden, aldus Google. Microsoft kwam op 8 november met een beveiligingsupdate voor het zerodaylek, aangeduid als CVE-2022-41128. Volgens Google is de aanval uitgevoerd door een Noord-Koreaanse spionagegroep aangeduid als APT37.

Google kwam het zerodaylek op het spoor nadat verschillende mensen vanuit Zuid-Korea een docx-document naar VirusTotal hadden geüpload, de online virusscandienst van Google. Het document bleek een rich text file (RTF) remote template te downloaden, dat weer remote HTML-content laadde. Microsoft Office gebruikt Internet Explorer voor het weergeven van deze content.

Aanvallers maken al geruime tijd misbruik van deze methode om exploits voor Internet Explorer via Office-documenten te verspreiden. Een voordeel van deze werkwijze is dat bij het slachtoffer Internet Explorer niet de standaardbrowser hoeft te zijn en ook is een 'escape' uit de Enhanced Protected Mode (EPM) sandbox niet vereist. Wel zouden slachtoffers de 'protected view' van Office moeten uitschakelen voordat het remote template kon worden gedownload.

Wat de uiteindelijke 'payload' van de aanval is kon niet door Google worden achterhaald. De spionagegroep heeft in het verleden bij dergelijke aanvallen malware geïnstalleerd waarmee toegang tot het system van slachtoffers werd verkregen. Internet Explorer heeft in Zuid-Korea altijd een groot marktaandeel gehad, maar zoals gezegd maakte dat bij deze aanval niet uit.