Microsoft affirme que des pirates russes exploitent la vulnérabilité du spouleur d’impression Windows
NurPhoto via Getty Images
Des chercheurs de Microsoft Threat Intelligence ont émis un avertissement indiquant que des pirates informatiques parrainés par l’État russe ciblaient les utilisateurs de Windows avec un outil personnalisé utilisé pour voler des informations d’identification et même installer des portes dérobées.
Les pirates informatiques APT28 Fancy Bear derrière les attaques Windows récemment signalées
Les pirates, plus communément identifiés comme APT28 ou Fancy Bear mais suivis par Microsoft sous le nom de Forest Blizzard, sont connus pour être affiliés à l’unité militaire 26165, qui fait partie de l’agence de renseignement militaire russe GRU.
Microsoft a déclaré avoir vu Forest Blizzard/APT 28 utiliser l’outil de post-exploitation, baptisé GooseEgg, contre des organisations gouvernementales, éducatives et du secteur des transports aux États-Unis, en Europe occidentale et en Ukraine. « Forest Blizzard se concentre principalement sur les cibles de renseignement stratégique » Microsoft a dit. Il semblerait, selon les analystes du renseignement de Microsoft, qu’APT28 utilise GooseEgg depuis au moins juin 2020 et très probablement dès avril 2019.
PLUS DE FORBESYubico émet une alerte de sécurité YubiKey Manager pour les utilisateurs WindowsPar Davey Winder
Les vulnérabilités Windows non corrigées pondent un œuf d’exploit en or
Ce qui, en substance, semble être une application de lancement relativement simple, GooseEgg, est en réalité un outil très dangereux entre les mains d’attaquants qui exploitent une vulnérabilité corrigée depuis longtemps dans le service Windows Print Spooler. La vulnérabilité en question, CVE-2022-38028, a été corrigée dans le cadre du déploiement du Patch Tuesday d’octobre 2022, après avoir été signalée pour la première fois par la National Security Agency. GooseEgg exploite une vulnérabilité non corrigée en « modifiant un fichier de contraintes JavaScript et en l’exécutant avec des autorisations de niveau SYSTÈME », a déclaré Microsoft. La mesure dans laquelle GooseEgg peut aider les pirates russes a été mise en évidence par le rapport Microsoft Threat Intelligence : « GooseEgg est capable de générer d’autres applications spécifiées sur la ligne de commande avec des autorisations élevées, permettant aux acteurs malveillants de prendre en charge tout objectif de suivi, tel que l’accès à distance. l’exécution de code, l’installation d’une porte dérobée et le déplacement latéral à travers des réseaux compromis.
PLUS DE FORBESSurprise de sécurité Windows alors que Microsoft confirme 90 nouvelles vulnérabilitésPar Davey Winder
Comment atténuer les attaques GooseEgg
Une fois de plus, cette campagne active de cyberespionnage menée par des pirates informatiques parrainés par l’État souligne l’importance de corriger les vulnérabilités le plus rapidement possible. En plus de la vulnérabilité CVE-2022-38028 du spouleur d’impression Windows, GooseEgg peut également être utilisé avec des exploits pour PrintNightmare, qui a été divulgué pour la première fois en 2021. D’autres vulnérabilités connues pour avoir été ciblées par les pirates APT28 incluent CVE-2023-23397, CVE. -2021-34527 et CVE-2021-1675.
Microsoft exhorte les organisations et les utilisateurs à appliquer la mise à jour de sécurité CVE-2022-38028 pour atténuer cette attaque. Il note que Microsoft Defender Antivirus détecte la fonctionnalité spécifique de Forest Blizzard comme HackTool:Win64/GooseEgg.
2024-04-26 16:41:00
1714140213
#Microsoft #met #garde #les #utilisateurs #Windows #contre #une #attaque #piratage #russe #cours