En octobre 2022, Microsoft avait corrigé une vulnérabilité de sécurité CVE-2022-38028 affectant le service Windows Print Spooler pour la gestion de tâches d'impression sur le système d'exploitation. De type élévation de privilèges, la vulnérabilité avait été signalée par... l'agence de renseignement américaine NSA (National Security Agency).

À l'époque, il n'avait pas été fait mention d'exploitation active dans des attaques. Désormais, les chercheurs en cybersécurité de Microsoft révèlent que le groupe Forest Blizzard exploitait la faille CVE-2022-38028 depuis au moins juin 2020, voire avril 2019.

Forest Blizzard est identifié comme un groupe basé en Russie et soutenu par le Kremlin. Il est affilié à une unité du service de renseignement militaire russe. D'autres noms attribués sont APT28, Sednit, Sofacy ou encore Fancy Bear. Ses cibles privilégiées sont des organisations gouvernementales, le secteur de l'énergie et du transport, des ONG aux États-Unis, en Europe et au Moyen-Orient.

blizzard-foret

Un outil malveillant GooseEgg

Après l'obtention de privilèges système grâce à l'exploitation de CVE-2022-38028, Forest Blizzard a utilisé un outil dénommé GooseEgg, qui n'avait pas été documenté jusqu'à présent, et sert à voler des informations d'identification de réseaux compromis. Il est déployé via l'exécution d'un script batch.

En ligne de commande, GooseEgg est capable de générer d'autres applications avec des autorisations élevées. " Les acteurs malveillants peuvent atteindre des objectifs ultérieurs tels que l'exécution de code à distance, l'installation d'une backdoor et le déplacement latéral dans des réseaux compromis. "

Des indicateurs de compromission sont publiés dans un billet de blog. Il détaille également des mesures de défense qui peuvent être prises, tout en soulignant que Microsoft Defender Antivirus détecte les composants de la menace en tant que malware HackTool:Win64/GooseEgg.

Une leçon à tirer ?

Cette affaire fait la démonstration que même si des vulnérabilités de sécurité paraissent plus anodines que d'autres lors d'un Patch Tuesday, il ne faut pas faire pour autant l'économie d'une action correctrice. Et quand un signalement émane de la NSA, c'est déjà un indice pour des cibles potentiellement exposées.