Hoạt động đe dọa liên tục nâng cao (APT) do Nga hậu thuẫn được Microsoft theo dõi là Forest Blizzard – nhưng thường được gọi là Fancy Bear hoặc APT28 – đang khai thác lỗ hổng hai năm tuổi trong Windows Print Spooler bằng một công cụ tùy chỉnh để nhắm mục tiêu vào giáo dục, các tổ chức chính phủ và lĩnh vực giao thông vận tải ở Ukraine, Tây Âu và Bắc Mỹ.
Công cụ này có tên là GooseEgg, khai thác CVE-2022-38028 – một lỗ hổng nâng cao đặc quyền với điểm cơ bản CVSS là 7,8 – và Fancy Bear có thể đã sử dụng nó từ tháng 6 năm 2020 và có thể sớm nhất là vào tháng 4 năm 2019.
Công cụ này hoạt động bằng cách sửa đổi tệp ràng buộc JavaScript, sau đó thực thi tệp đó với các quyền ở cấp hệ thống, cho phép kẻ đe dọa nâng cao đặc quyền của chúng và đánh cắp thông tin xác thực quan trọng từ nạn nhân.
Mặc dù GooseEgg là một trình khởi chạy tương đối đơn giản nhưng nó cũng có thể tạo ra các ứng dụng khác được chỉ định tại dòng lệnh với các đặc quyền nâng cao – cho phép người dùng hỗ trợ các mục tiêu khác, bao gồm cài đặt cửa sau, di chuyển ngang và thực thi mã từ xa.
Các tác nhân đe dọa Nga từ lâu đã quan tâm đến các lỗ hổng tương tự – chẳng hạn như PrintNightmare, xuất hiện vào năm 2021 – nhưng theo Microsoft, việc sử dụng GooseEgg là một “khám phá độc đáo” chưa từng được báo cáo trước đây.
Nhóm Thông tin về mối đe dọa của Microsoft cho biết trong bài viết của mình: “Microsoft cam kết cung cấp khả năng hiển thị về hoạt động độc hại được quan sát và chia sẻ thông tin chi tiết về các tác nhân đe dọa để giúp các tổ chức tự bảo vệ mình”. “Các tổ chức và người dùng phải áp dụng bản cập nhật bảo mật CVE-2022-38028 để giảm thiểu mối đe dọa này, trong khi Microsoft Defender Antivirus phát hiện khả năng cụ thể của Forest Blizzard là HackTool:Win64/GooseEgg.”
Ngoài ra, nhóm cho biết, vì Windows Print Spooler không cần thiết cho các hoạt động của bộ điều khiển miền nên nên tắt nó trên bộ điều khiển miền nếu khả thi.
Ngoài ra, Microsoft cho biết người dùng nên cố gắng “chủ động phòng thủ”, thực hiện các bước như tuân theo các khuyến nghị tăng cường chứng chỉ; chạy tính năng phát hiện và phản hồi điểm cuối (EDR) ở chế độ chặn để cho phép Microsoft Defender dành cho Điểm cuối chặn các thành phần độc hại ngay cả khi các phần mềm chống vi-rút khác không phát hiện ra chúng; cho phép Defender for Endpoint tự động điều tra và khắc phục sự cố; và kích hoạt tính năng bảo vệ do đám mây cung cấp trong Tính năng Chống Virut của Bộ bảo vệ Microsoft.
Người đồng sáng lập Sevco Security, Greg Fitzgerald, cho biết việc phát hiện ra GooseEgg đã nói lên một vấn đề rộng lớn hơn trong thế giới bảo mật chứ không chỉ đơn thuần là sự thiếu quan tâm đến việc quản lý lỗ hổng bảo mật.
Ông nói: “Các nhóm bảo mật đã trở nên cực kỳ hiệu quả trong việc xác định và khắc phục CVE, nhưng ngày càng có nhiều lỗ hổng môi trường này – trong trường hợp này là trong dịch vụ Windows Print Spooler, dịch vụ quản lý các quy trình in – đã tạo ra các lỗ hổng bảo mật cho phép các tác nhân độc hại truy cập vào dữ liệu.” .
Fitzgerald cho biết: “Những lỗ hổng này đang ẩn nấp rõ ràng trong khắp môi trường CNTT, tạo ra một loạt các mối đe dọa mà các nhóm bảo mật không thể nhìn thấy nhưng vẫn phải chịu trách nhiệm”. “Thực tế đáng tiếc là hầu hết các tổ chức không thể tạo ra một kho tài sản CNTT chính xác phản ánh toàn bộ bề mặt tấn công của họ.
“Điều này đặt chúng vào tay những kẻ tấn công, những kẻ biết nơi tìm kiếm những tài sản CNTT bị lãng quên có chứa các lỗ hổng có thể khai thác được.”
Hướng dẫn thêm về cách phát hiện, săn lùng và ứng phó với GooseEgg có sẵn từ Microsoft.