Les pirates informatiques soutenus par le Kremlin exploitent depuis quatre ans une vulnérabilité critique de Microsoft dans des attaques ciblant un large éventail d’organisations avec un outil jusqu’alors non documenté, a révélé lundi l’éditeur de logiciels.
Lorsque Microsoft a corrigé la vulnérabilité en octobre 2022, au moins deux ans après avoir été attaquée par des pirates informatiques russes, la société n’a pas mentionné qu’elle était activement exploitée. Au moment de la publication, l’avis de la société ne faisait toujours aucune mention du ciblage dans la nature. Les utilisateurs Windows donnent souvent la priorité à l’installation de correctifs en fonction de la probabilité qu’une vulnérabilité soit exploitée lors d’attaques réelles.
L’exploitation de CVE-2022-38028, à mesure que la vulnérabilité est suivie, permet aux attaquants d’obtenir les privilèges système, les plus élevés disponibles sous Windows, lorsqu’ils sont combinés à un exploit distinct. L’exploitation de cette faille, qui a un indice de gravité de 7,8 sur 10 possibles, nécessite peu de privilèges existants et peu de complexité. Il réside dans le spouleur d’impression Windows, un composant de gestion d’imprimante qui a déjà hébergé des zéro-day critiques. Microsoft avait déclaré à l’époque avoir pris connaissance de la vulnérabilité auprès de la National Security Agency des États-Unis.
Lundi, Microsoft a révélé qu’un groupe de piratage suivi sous le nom de Forest Blizzard exploitait CVE-2022-38028 depuis au moins juin 2020, et peut-être dès avril 2019. Le groupe de menace, qui est également suivi sous des noms tels que APT28, Sednit, Sofacy, l’unité 26165 du GRU et Fancy Bear – ont été liés par les gouvernements américain et britannique à l’unité 26165 de la Direction principale du renseignement, une branche du renseignement militaire russe mieux connue sous le nom de GRU. Forest Blizzard se concentre sur la collecte de renseignements via le piratage d’un large éventail d’organisations, principalement aux États-Unis, en Europe et au Moyen-Orient.
Depuis avril 2019, Forest Blizzard exploite CVE-2022-38028 dans des attaques qui, une fois les privilèges système acquis, utilisent un outil jusqu’alors non documenté que Microsoft appelle GooseEgg. Le malware post-exploitation élève les privilèges au sein d’un système compromis et fournit une interface simple pour installer des logiciels malveillants supplémentaires qui s’exécutent également avec les privilèges du système. Ces logiciels malveillants supplémentaires, qui incluent des voleurs d’informations d’identification et des outils permettant de se déplacer latéralement à travers un réseau compromis, peuvent être personnalisés pour chaque cible.
« Bien qu’il s’agisse d’une simple application de lancement, GooseEgg est capable de générer d’autres applications spécifiées sur la ligne de commande avec des autorisations élevées, permettant aux acteurs malveillants de prendre en charge tout objectif ultérieur tel que l’exécution de code à distance, l’installation d’une porte dérobée et le déplacement latéral à travers des réseaux compromis. » Les responsables de Microsoft ont écrit.
GooseEgg est généralement installé à l’aide d’un simple script batch, qui est exécuté après l’exploitation réussie de CVE-2022-38028 ou d’une autre vulnérabilité, telle que CVE-2023-23397, qui, selon l’avis de lundi, a également été exploitée par Forest Blizzard. Le script est chargé d’installer le binaire GooseEgg, souvent nommé justice.exe ou DefragmentSrv.exe, puis de s’assurer qu’ils s’exécutent à chaque redémarrage de la machine infectée.