GooseEgg s’avère être une affaire en or pour Fancy Bear, selon Microsoft

L’opération de menace persistante avancée (APT) soutenue par la Russie et repérée par Microsoft sous le nom de Forest Blizzard – mais plus connue sous le nom de Fancy Bear ou APT28 – exploite une vulnérabilité vieille de deux ans dans le spouleur d’impression Windows, à l’aide d’un outil personnalisé pour cibler des organisations des secteurs de l’éducation, du gouvernement et des transports en Ukraine, en Europe de l’Ouest et en Amérique du Nord.

L’outil, appelé GooseEgg, exploite CVE-2022-38028 – une vulnérabilité d’élévation de privilèges avec un score de base CVSS de 7.8 – et Fancy Bear l’utilise probablement depuis juin 2020, et peut-être même dès avril 2019.

L’outil fonctionne en modifiant un fichier de contraintes JavaScript, puis en l’exécutant avec des autorisations au niveau du système, ce qui permet à l’auteur de la menace d’élever ses privilèges et de voler des informations d’identification vitales à ses victimes.

Bien que GooseEgg soit un lanceur relativement simple, il peut également générer d’autres applications spécifiées dans la ligne de commande avec des privilèges élevés, ce qui permet à son utilisateur d’atteindre d’autres objectifs, notamment l’installation de portes dérobées, le déplacement latéral et l’exécution de code à distance.

Les acteurs russes s’intéressent depuis longtemps à des vulnérabilités similaires, telles que PrintNightmare, apparue en 2021, mais selon Microsoft, l’utilisation de GooseEgg est une « découverte unique » qui n’a jamais été signalée auparavant.

« Microsoft s’engage à fournir une visibilité sur les activités malveillantes observées et à partager des informations sur les acteurs de la menace afin d’aider les organisations à se protéger », a déclaré l’équipe Microsoft Threat Intelligence dans son rapport. « Les organisations et les utilisateurs doivent appliquer la mise à jour de sécurité CVE-2022-38028 pour atténuer cette menace, tandis que Microsoft Defender Antivirus détecte la capacité spécifique de Forest Blizzard comme étant HackTool:Win64/GooseEgg. »

De plus, comme Windows Print Spooler n’est pas nécessaire pour les opérations des contrôleurs de domaine, il est recommandé de le désactiver sur les contrôleurs de domaine, si cela est possible.

En outre, Microsoft a déclaré que les utilisateurs devraient s’efforcer d’être « proactivement défensifs », en prenant des mesures telles que le suivi des recommandations de renforcement des informations d’identification, l’exécution de la détection et de la réponse des terminaux (EDR) en mode blocage pour permettre à Microsoft Defender for Endpoint de bloquer les artefacts malveillants (même si d’autres antivirus ne les ont pas repérés), en permettant à Defender for Endpoint d’automatiser l’investigation et la correction des problèmes, et en activant la protection fournie par le cloud dans Microsoft Defender Antivirus.

Greg Fitzgerald, cofondateur de Sevco Security, a déclaré que la découverte de GooseEgg était révélatrice d’un problème plus large, dans le monde de la sécurité, que le simple manque d’attention à la gestion des vulnérabilités.

Les équipes de sécurité sont devenues incroyablement efficaces dans l’identification et la correction des CVE », explique Greg Fitzgerald, « mais de plus en plus, ce sont ces vulnérabilités environnementales – dans ce cas au sein du service Windows Print Spooler, qui gère les processus d’impression – qui créent des failles de sécurité permettant à des acteurs malveillants d’accéder à des données ».

Et d’ajouter que « ces vulnérabilités se cachent à la vue de tous, dans les environnements informatiques, créant un paysage de menaces que les équipes de sécurité ne peuvent pas voir, mais dont elles sont pourtant responsables ». Selon Greg Fitzgerald, « la triste réalité est que la plupart des organisations sont incapables de créer un inventaire précis des actifs informatiques qui reflète l’intégralité de leur surface d’attaque. […] Cela les met à la merci des attaquants qui savent où chercher des biens informatiques oubliés qui contiennent des vulnérabilités exploitables ».

Des informations supplémentaires sur la détection, la chasse et la réponse à GooseEgg sont disponibles auprès de Microsoft.