La vulnrabilit critique CVE-2022-38028 a t signale Microsoft pour la premire fois par l'Agence nationale de scurit (NSA) des tats-Unis. L'exploitation de CVE-2022-38028, dont la gravit est value 7,8 sur 10, permet aux attaquants d'obtenir des privilges systme, les plus levs sous Windows, lorsqu'elle est combine avec un exploit spar. Cette vulnrabilit affecte Print Spooler, un composant de gestion des imprimantes qui a dj t l'origine de failles critiques. Microsoft avait corrig la vulnrabilit lors de son Patch Tuesday d'octobre 2022, mais n'avait pas mentionn qu'elle tait activement exploite.
Binaire GooseEgg ajoutant des magasins de pilotes un rpertoire contrl par les acteurs de la menace
Lundi, Microsoft a rvl qu'un groupe de pirates informatiques que l'entreprise suit sous le nom de Forest Blizzard (APT28) exploite la vulnrabilit CVE-2022-38028 depuis au moins juin 2020, et peut-tre mme depuis avril 2019. Selon les gouvernements amricain et britannique, Forest Blizzard est li la division "Unit 26165" de la Main Intelligence Directorate, un service de renseignement militaire russe mieux connu sous le nom de GRU. Forest Blizzard se concentrerait sur la collecte de renseignements en piratant un large ventail d'organisations, principalement aux tats-Unis, en Europe et au Moyen-Orient.
Selon l'avis de scurit de Microsoft, Forest Blizzard exploite la faille CVE-2022-38028 depuis au moins avril 2019 dans des attaques qui, une fois les privilges systme acquis, utilisent un outil prcdemment non document que Microsoft a baptis "GooseEgg". Microsoft a dcrit GooseEgg comme un outil de post-compromission qui lve les privilges sur une machine compromise et fournit une interface "simple" pour installer d'autres logiciels malveillants qui s'excutent galement avec des privilges systme. Selon l'entreprise, ces logiciels malveillants supplmentaires peuvent tre personnaliss pour chaque cible.
Ils comprennent notamment des logiciels de vol d'informations d'identification (stealers) et des outils permettant de se dplacer latralement dans un rseau compromis. GooseEgg est gnralement install l'aide d'un simple script batch, qui est excut aprs l'exploitation russie de CVE-2022-38028 ou d'une autre vulnrabilit, telle que CVE-2023-23397, qui, selon l'avis publi lundi, a galement t exploite par Forest Blizzard. Le script est charg d'installer le binaire GooseEgg, souvent appel "justice.exe" ou "DefragmentSrv.exe", puis de s'assurer qu'il s'excute chaque redmarrage de la machine infecte.
Le groupe de pirates utilise galement GooseEgg pour dposer un fichier DLL malveillant intgr (dans certains cas appel "wayzgoose23.dll") dans le contexte du service PrintSpooler avec les privilges systme. Ce fichier DLL est en fait un lanceur d'applications qui peut excuter d'autres charges utiles avec des autorisations de niveau systme et permet aux attaquants de dployer des portes drobes, de se dplacer latralement dans les rseaux des victimes et d'excuter du code distance sur les systmes viols. Microsoft explique :
Forest Blizzard (APT28, Sednit, Sofacy, GRU Unit 26165, et Fancy Bear) a t l'origine de nombreuses cyberattaques trs mdiatises depuis son apparition au milieu des annes 2000. Par exemple, il y a un an, les services de renseignement amricains et britanniques ont averti que Forest Blizzard avait exploit une faille dans un routeur Cisco pour dployer le logiciel malveillant "Jaguar Tooth", ce qui lui a permis de recueillir des informations sensibles auprs de cibles aux tats-Unis et dans l'Union europenne.
Plus rcemment, en fvrier, un avis conjoint du FBI, de la NSA et de partenaires internationaux a signal que Forest Blizzard utilisait des routeurs "Ubiquiti EdgeRouters" pirats pour chapper la dtection lors d'attaques. Ils ont galement t associs dans le pass la violation du Parlement fdral allemand (Deutscher Bundestag) et aux piratages du Democratic Congressional Campaign Committee (DCCC) et du Democratic National Committee (DNC) avant l'lection prsidentielle amricaine de 2016.
Deux ans plus tard, les tats-Unis ont inculp les membres de Forest Blizzard pour leur implication dans les attaques du DNC et du DCCC, tandis que le Conseil de l'Union europenne a galement sanctionn les membres de Forest Blizzard en octobre 2020 pour le piratage du Parlement fdral allemand.
L'avis de scurit de Microsoft indique que l'entreprise a galement publi des indicateurs de compromission (indicators of compromise - IOC) associs aux attaques observes, ainsi que des ressources supplmentaires pour aider les organisations traquer les infections potentielles de GooseEgg.
Et vous ?
Quel est votre avis sur le sujet ?
Pourquoi n'a pas inform les utilisateurs que la vulnrabilit CVE-2022-38028 faisait l'objet d'une exploitation active ?
Avez-vous t victime d'une attaque lie l'exploitation de cette vulnrabilit ? Si oui, partagez votre exprience.
Voir aussi