Wspierana przez Rosję operacja zaawansowanego trwałego zagrożenia (APT), śledzona przez Microsoft jako Forest Blizzard – ale bardziej znana jako Fantazyjny Niedźwiedź lub APT28 – wykorzystuje istniejącą od dwóch lat lukę w buforze wydruku systemu Windows za pomocą niestandardowego narzędzia, którego celem są organizacje edukacyjne, rządowe i sektora transportowego na Ukrainie, w Europie Zachodniej i Ameryce Północnej.
Narzędzie o nazwie GooseEgg wykorzystuje exploity CVE-2022-38028 – luka w zabezpieczeniach umożliwiająca podniesienie uprawnień z bazowym wynikiem CVSS wynoszącym 7,8 – a Fancy Bear prawdopodobnie korzysta z niej od czerwca 2020 r., a być może już w kwietniu 2019 r.
Narzędzie działa poprzez modyfikację pliku ograniczeń JavaScript, a następnie wykonanie go z uprawnieniami na poziomie systemu, umożliwiając cyberprzestępcy podniesienie swoich uprawnień i kradzież ważnych danych uwierzytelniających ofiarom.
Chociaż GooseEgg jest stosunkowo prostym programem uruchamiającym, może także uruchamiać inne aplikacje określone w wierszu poleceń z podwyższonymi uprawnieniami, umożliwiając użytkownikowi realizację innych celów, w tym instalację backdoorów, wykonywanie ruchu bocznego i zdalne wykonywanie kodu.
Rosyjscy ugrupowania cyberprzestępcze od dawna interesują się podobnymi lukami w zabezpieczeniach – takie jak PrintNightmarektóry pojawił się w 2021 r., ale według Microsoftu użycie GooseEgg jest „wyjątkowym odkryciem”, o którym nigdy wcześniej nie mówiono.
„Firma Microsoft stara się zapewniać wgląd w zaobserwowaną złośliwą aktywność i dzielić się spostrzeżeniami na temat podmiotów zagrażających, aby pomóc organizacjom chronić się” – powiedział zespół Microsoft Threat Intelligence w swoim spisie. „Organizacje i użytkownicy mają zastosować aktualizację zabezpieczeń CVE-2022-38028, aby złagodzić to zagrożenie, podczas gdy program antywirusowy Microsoft Defender wykrywa konkretną funkcję Forest Blizzard jako HackTool:Win64/GooseEgg”.
Oprócz tego, jak stwierdził zespół, ponieważ bufor wydruku systemu Windows nie jest potrzebny do działania kontrolera domeny, zaleca się, jeśli to możliwe, wyłączenie go na kontrolerach domeny.
Poza tym Microsoft stwierdził, że użytkownicy powinni starać się zachowywać „proaktywnie defensywnie”, podejmując takie kroki, jak przestrzeganie zaleceń dotyczących wzmacniania wiarygodności; uruchamianie wykrywania i reagowania punktu końcowego (EDR) w trybie blokowym, aby umożliwić usłudze Microsoft Defender for Endpoint blokowanie złośliwych artefaktów, nawet jeśli inne programy antywirusowe ich nie wykryły; umożliwienie Defender for Endpoint automatyzacji badania i rozwiązywania problemów; i aktywowanie ochrony dostarczanej w chmurze w programie antywirusowym Microsoft Defender.
Bezpieczeństwo Seveco współzałożyciel Greg Fitzgerald powiedział, że odkrycie GooseEgg porusza szerszy problem w świecie bezpieczeństwa niż tylko brak uwagi na zarządzaniu lukami w zabezpieczeniach.
„Zespoły ds. bezpieczeństwa stały się niezwykle skuteczne w identyfikowaniu i naprawianiu błędów CVE” – powiedział – „ale coraz częściej to luki w zabezpieczeniach środowiskowych – w tym przypadku w usłudze Windows Print Spooler, która zarządza procesami drukowania – tworzą luki w zabezpieczeniach, umożliwiające złośliwym podmiotom dostęp do danych .
„Te luki w zabezpieczeniach są ukryte na widoku w środowiskach IT, tworząc krajobraz zagrożeń, których zespoły ds. bezpieczeństwa nie mogą zobaczyć, ale za które nadal są odpowiedzialni” – powiedział Fitzgerald. „Niefortunna rzeczywistość jest taka, że większość organizacji nie jest w stanie stworzyć dokładnej inwentaryzacji zasobów IT, która odzwierciedlałaby całą powierzchnię ataku.
„To stawia je na łasce atakujących, którzy wiedzą, gdzie szukać zapomnianych zasobów IT zawierających luki, które można wykorzystać”.
Więcej wskazówek dotyczących wykrywania, polowania i reagowania na GooseEgg można znaleźć w artykule dostępne w firmie Microsoft.