L’opération APT (Advanced Persistent Threat), soutenue par la Russie, repérée par Microsoft sous le nom de Forest Blizzard – mais plus communément connue sous le nom de Fancy Bear ou APT28 – exploite une vulnérabilité vieille de deux ans dans le spouleur d’impression Windows, en utilisant un outil personnalisé pour cibler les organisations dans les secteurs de l’éducation, du gouvernement et des transports en Ukraine, en Europe occidentale et en Amérique du Nord.
L’outil, appelé GooseEgg, exploite CVE-2022-38028 – une vulnérabilité d’élévation de privilèges avec un score de base CVSS de 7,8 – et Fancy Bear l’utilise probablement depuis juin 2020, et peut-être dès avril 2019.
L’outil fonctionne en modifiant un fichier de contraintes JavaScript, puis en l’exécutant avec des autorisations au niveau du système, permettant à l’acteur malveillant d’élever ses privilèges et de voler les informations d’identification vitales de ses victimes.
Bien que GooseEgg soit un lanceur relativement simple, il peut également générer d’autres applications spécifiées dans la ligne de commande avec des privilèges élevés, permettant à son utilisateur d’atteindre d’autres objectifs, notamment l’installation de portes dérobées, le mouvement latéral et l’exécution de code à distance.
Les acteurs russes s’intéressent depuis longtemps à des vulnérabilités similaires, comme PrintNightmare, apparue en 2021, mais selon Microsoft, l’utilisation de GooseEgg est une « découverte unique » qui n’a jamais été signalée auparavant.
“Microsoft s’engage à fournir une visibilité sur les activités malveillantes observées et à partager des informations sur les acteurs de la menace pour aider les organisations à se protéger”, a déclaré l’équipe Microsoft Threat Intelligence dans son rapport. « Les organisations et les utilisateurs doivent appliquer la mise à jour de sécurité CVE-2022-38028 pour atténuer cette menace, tandis que Microsoft Defender Antivirus détecte la capacité spécifique de Forest Blizzard comme HackTool:Win64/GooseEgg. »
De plus, étant donné que le spouleur d’impression Windows n’est pas requis pour les opérations du contrôleur de domaine, il est recommandé de le désactiver sur les contrôleurs de domaine, si possible.
De plus, Microsoft a déclaré que les utilisateurs devraient s’efforcer d’être « défensifs de manière proactive », en prenant des mesures telles que suivre les recommandations de renforcement des informations d’identification, effectuer une détection et une réponse de sécurité. points de terminaison (EDR) en mode blocage pour permettre à Microsoft Defender pour point de terminaison de bloquer les artefacts malveillants (même si d’autres antivirus ne les ont pas détectés), permettant à Defender pour point de terminaison d’automatiser l’investigation et la résolution des problèmes, et activant la protection fournie par le cloud dans Microsoft Defender Antivirus.
Greg Fitzgerald, co-fondateur de Sevco Security, a déclaré que la découverte de GooseEgg était révélatrice d’un problème plus vaste dans le monde de la sécurité, qui ne se limite pas à un simple manque d’attention à la gestion des vulnérabilités.
Les équipes de sécurité sont devenues incroyablement douées pour identifier et corriger les CVE », déclare Greg Fitzgerald, « mais de plus en plus, ce sont ces vulnérabilités environnementales – dans ce cas au sein du service Windows Print Spooler, qui gère les processus d’impression – qui créent des vulnérabilités de sécurité permettant à des acteurs malveillants d’accéder données.”
Il a ajouté que « ces vulnérabilités se cachent à la vue de tous dans les environnements informatiques, créant un paysage de menaces que les équipes de sécurité ne peuvent pas voir, mais dont elles sont responsables ». Selon Greg Fitzgerald : « La triste réalité est que la plupart des organisations sont incapables de créer un inventaire précis de leurs actifs informatiques qui reflète l’ensemble de leur surface d’attaque. […] Cela les met à la merci des attaquants qui savent où chercher les actifs informatiques oubliés contenant des vulnérabilités exploitables.
Des informations supplémentaires sur la détection, la recherche et la réponse à GooseEgg sont disponibles auprès de Microsoft.
