Le groupe de pirates informatiques affilis la Russie Forest Blizzard exploite une vulnrabilit de Windows (CVE-2022-38028) pour lever les privilges et voler des informations d’identification et des donnes l’aide d’un outil de piratage appel GooseEgg, jusqu’ prsent inconnu. Microsoft indique que GooseEgg favorise l’installation d’autres programmes malveillants avec des privilges levs, offrant aux attaquants des capacits comme l’excution de code distance, le dploiement de portes drobes et le dplacement latral. Les attaques auraient cibl des organisations gouvernementales, non gouvernementales, d’ducation et de transport, etc.
La vulnrabilit critique CVE-2022-38028 a t signale Microsoft pour la premire fois par l’Agence nationale de scurit (NSA) des tats-Unis. L’exploitation de CVE-2022-38028, dont la gravit est value 7,8 sur 10, permet aux attaquants d’obtenir des privilges systme, les plus levs sous Windows, lorsqu’elle est combine avec un exploit spar. Cette vulnrabilit affecte Print Spooler, un composant de gestion des imprimantes qui a dj t l’origine de failles critiques. Microsoft avait corrig la vulnrabilit lors de son Patch Tuesday d’octobre 2022, mais n’avait pas mentionn qu’elle tait activement exploite.
Binaire GooseEgg ajoutant des magasins de pilotes un rpertoire contrl par les acteurs de la menace
Lundi, Microsoft a rvl qu’un groupe de pirates informatiques que l’entreprise suit sous le nom de Forest Blizzard (APT28) exploite la vulnrabilit CVE-2022-38028 depuis au moins juin 2020, et peut-tre mme depuis avril 2019. Selon les gouvernements amricain et britannique, Forest Blizzard est li la division « Unit 26165 » de la Main Intelligence Directorate, un service de renseignement militaire russe mieux connu sous le nom de GRU. Forest Blizzard se concentrerait sur la collecte de renseignements en piratant un large ventail d’organisations, principalement aux tats-Unis, en Europe et au Moyen-Orient.
Selon l’avis de scurit de Microsoft, Forest Blizzard exploite la faille CVE-2022-38028 depuis au moins avril 2019 dans des attaques qui, une fois les privilges systme acquis, utilisent un outil prcdemment non document que Microsoft a baptis « GooseEgg ». Microsoft a dcrit GooseEgg comme un outil de post-compromission qui lve les privilges sur une machine compromise et fournit une interface « simple » pour installer d’autres logiciels malveillants qui s’excutent galement avec des privilges systme. Selon l’entreprise, ces logiciels malveillants supplmentaires peuvent tre personnaliss pour chaque cible.
Ils comprennent notamment des logiciels de vol d’informations d’identification (stealers) et des outils permettant de se dplacer latralement dans un rseau compromis. GooseEgg est gnralement install l’aide d’un simple script batch, qui est excut aprs l’exploitation russie de CVE-2022-38028 ou d’une autre vulnrabilit, telle que CVE-2023-23397, qui, selon l’avis publi lundi, a galement t exploite par Forest Blizzard. Le script est charg d’installer le binaire GooseEgg, souvent appel « justice.exe » ou « DefragmentSrv.exe », puis de s’assurer qu’il s’excute chaque redmarrage de la machine infecte.
Le groupe de pirates utilise galement GooseEgg pour dposer un fichier DLL malveillant intgr (dans certains cas appel « wayzgoose23.dll ») dans le contexte du service PrintSpooler avec les privilges systme. Ce fichier DLL est en fait un lanceur d’applications qui peut excuter d’autres charges utiles avec des autorisations de niveau systme et permet aux attaquants de dployer des portes drobes, de se dplacer latralement dans les rseaux des victimes et d’excuter du code distance sur les systmes viols. Microsoft explique :
Envoy par MicrosoftBien qu’il s’agisse d’une simple application de lancement, GooseEgg est capable d’engendrer d’autres applications spcifies dans la ligne de commande avec des autorisations leves, ce qui permet aux acteurs de la menace de soutenir tout objectif ultrieur tel que l’excution de code distance, l’installation d’une porte drobe et le dplacement latral travers les rseaux compromis.
Microsoft invite les utilisateurs appliquer la mise jour de scurit pour la vulnrabilit Print Spooler publie en 2022, ainsi que les correctifs pour les vulnrabilits PrintNightmare (CVE-2022-38028, CVE-2023-23397, CVE-2021-34527 et CVE-2021-1675) publis en 2021. Les clients qui n’ont pas encore mis en uvre ces correctifs sont invits le faire ds que possible pour la scurit de leur organisation. En outre, comme le service Print Spooler n’est pas ncessaire pour les oprations des contrleurs de domaine, Microsoft recommande de dsactiver le service sur les contrleurs de domaine , a dclar l’entreprise.
Forest Blizzard (APT28, Sednit, Sofacy, GRU Unit 26165, et Fancy Bear) a t l’origine de nombreuses cyberattaques trs mdiatises depuis son apparition au milieu des annes 2000. Par exemple, il y a un an, les services de renseignement amricains et britanniques ont averti que Forest Blizzard avait exploit une faille dans un routeur Cisco pour dployer le logiciel malveillant « Jaguar Tooth », ce qui lui a permis de recueillir des informations sensibles auprs de cibles aux tats-Unis et dans l’Union europenne.
Plus rcemment, en fvrier, un avis conjoint du FBI, de la NSA et de partenaires internationaux a signal que Forest Blizzard utilisait des routeurs « Ubiquiti EdgeRouters » pirats pour chapper la dtection lors d’attaques. Ils ont galement t associs dans le pass la violation du Parlement fdral allemand (Deutscher Bundestag) et aux piratages du Democratic Congressional Campaign Committee (DCCC) et du Democratic National Committee (DNC) avant l’lection prsidentielle amricaine de 2016.
Deux ans plus tard, les tats-Unis ont inculp les membres de Forest Blizzard pour leur implication dans les attaques du DNC et du DCCC, tandis que le Conseil de l’Union europenne a galement sanctionn les membres de Forest Blizzard en octobre 2020 pour le piratage du Parlement fdral allemand.
L’avis de scurit de Microsoft indique que l’entreprise a galement publi des indicateurs de compromission (indicators of compromise – IOC) associs aux attaques observes, ainsi que des ressources supplmentaires pour aider les organisations traquer les infections potentielles de GooseEgg.
Et vous ?
Quel est votre avis sur le sujet ?
Pourquoi n’a pas inform les utilisateurs que la vulnrabilit CVE-2022-38028 faisait l’objet d’une exploitation active ?
Avez-vous t victime d’une attaque lie l’exploitation de cette vulnrabilit ? Si oui, partagez votre exprience.
Voir aussi