Brief de plongée :
- Forest Blizzard, un groupe de menaces lié à la Russie, utilise un outil sur mesure appelé GooseEgg pour exploiter une vulnérabilité d’élévation de privilèges dans Windows Print Spooler, Informations sur les menaces Microsoft a déclaré lundi. L’exploit permet à des acteurs malveillants d’élever leurs privilèges et de voler des informations d’identification.
- Forest Blizzard utilise l’outil depuis au moins juin 2020 pour exploiter la vulnérabilité contre des cibles dans les secteurs du gouvernement, de l’éducation et des transports en Ukraine, en Europe occidentale et en Amérique du Nord. L’activité malveillante pourrait avoir commencé dès avril 2019, a déclaré Microsoft.
- Le Agence de cybersécurité et de sécurité des infrastructures mardi, la vulnérabilité a été ajoutée, répertoriée comme CVE-2022-38028à son catalogue de vulnérabilités exploitées connues.
Aperçu de la plongée :
L’activité malveillante implique « la modification d’un fichier de contraintes JavaScript et son exécution avec des autorisations au niveau du SYSTÈME », selon les chercheurs de Microsoft.
Les pirates utilisant l’outil GooseEgg peuvent également permettre l’exécution de code à distance, les installations par porte dérobée et les mouvements latéraux via des réseaux compromis, a déclaré Microsoft.
Les autorités américaines et britanniques ont lié Forest Blizzard à la direction principale du renseignement de l’état-major russe, qui s’appuie sur d’autres exploits, notamment CVE-2023-23397une escalade critique de vulnérabilité de privilèges dans Microsoft Windows.
Des acteurs liés à la Russie ont déjà exploité la vulnérabilité PrintNightmare, répertoriée comme CVE-2021-34527 et CVE-2021-1675. Mais l’activité malveillante utilisant GooseEgg a été récemment révélée, ont déclaré les chercheurs de Microsoft.
PrintNightmare a précédemment conduit à une activité d’exploitation majeure. En 2022, la CISA et le FBI ont averti que les groupes menaçants parrainés par l’État a eu accès à une organisation non gouvernementale en exploitant la vulnérabilité PrintNightmare ainsi que les protocoles d’authentification multifacteur par défaut.
“Les imprimantes peuvent devenir une voie d’attaque dans votre entreprise”, a déclaré Tom Kellerman, vice-président principal de la cyberstratégie chez Contrast Security, dans un communiqué. « La Russie continue d’exploiter d’anciennes vulnérabilités car de nombreuses organisations ne disposent pas d’une gestion appropriée des vulnérabilités pour leurs imprimantes. »
Les autorités américaines ont ciblé Forest Blizzard plus tôt cette année lors du démantèlement de Moobot, une opération qui exploitait des appareils de pointe vulnérables pour lancer du spear phishing et la collecte d’informations d’identification.
2024-04-24 18:59:55
1713975304
#Une #faille #Microsoft #vintage #refait #surface #les #acteurs #malveillants #attaquent #avec #Golden #GooseEgg
