Уязвимостта на Windows, докладвана от NSA, е била използвана за инсталиране на руски зловреден софтуер

Подкрепяни от Кремъл хакери са използвали критична уязвимост на Microsoft в продължение на четири години в атаки, насочени към широк кръг организации с недокументиран преди това инструмент, разкри производителят на софтуер в понеделник.

Когато Microsoft коригира уязвимостта през октомври 2022 г. — най-малко две години след като беше атакувана от руски хакери — компанията не спомена, че тя е била активно експлоатирана. Към датата на публикуване Дружеството съветник Все още не се споменава за насочване в дивата природа. Потребителите на Windows често дават приоритет на инсталирането на пачове въз основа на това дали дадена уязвимост е вероятно да бъде използвана при атаки в реалния свят.

Exploit CVE-2022-38028, докато проследява уязвимостта, позволява на атакуващите да получат системни привилегии, най-високите привилегии, налични в Windows, когато се комбинират с отделен експлойт. Използването на уязвимостта, която има рейтинг на сериозност 7,8 от 10, изисква ниски привилегии и малка сложност. Той се намира в спулера за печат на Windows, компонент за управление на принтер, който е имал предишни критични нулеви дни. По това време Microsoft каза, че е научил за уязвимостта от Агенцията за национална сигурност на САЩ.

Microsoft разкри в понеделник, че хакерска група, проследявана под името Forest Blizzard, експлоатира CVE-2022-38028 най-малко от юни 2020 г. – и вероятно още от април 2019 г. Групата за заплахи – която също се проследява под имена, включително APT28, е е свързан със Sednit, Sofacy, GRU Unit 26165 и Fancy Bear – от Правителствата на Съединените щати и Обединеното кралство Към отдел 26165 на Главното разузнавателно управление, подразделение на руското военно разузнаване, известно като ГРУ. Forest Blizzard се фокусира върху събирането на разузнавателна информация чрез проникване в широк кръг организации, особено в Съединените щати, Европа и Близкия изток.

От април 2019 г. Forest Blizzard използва CVE-2022-38028 в атаки, които, след като бъдат спечелени системни привилегии, използват недокументиран преди това инструмент, който Microsoft нарича GooseEgg. Зловреден софтуер след експлоатация повишава привилегиите в компрометираната система и продължава да предоставя прост интерфейс за инсталиране на допълнителни части от злонамерен софтуер, които също работят със системни привилегии. Този допълнителен зловреден софтуер, който включва инструменти за кражба на идентификационни данни и хоризонтално придвижване през компрометирана мрежа, може да бъде пригоден за всяка цел.

„Въпреки че е просто приложение за стартиране, GooseEgg може да създаде други специфични приложения на командния ред с повишени разрешения, позволявайки на участниците в заплахата да поддържат всякакви последващи цели, като дистанционно изпълнение на код, инсталиране на задна врата и хоризонтално движение в мрежи. ” „Хакнат“, пишат служители на Microsoft.

GooseEgg обикновено се инсталира с помощта на проста програма Партиден скрипт, който се прилага след успешна експлоатация на CVE-2022-38028 или друга уязвимост, като CVE-2023-23397, която в доклад от понеделник каза, че Forest Blizzard също е използвала. Скриптът е отговорен за инсталирането на двоичния файл GooseEgg, често наричан Justice.exe или DefragmentSrv.exe, и след това гарантира, че те се изпълняват всеки път, когато засегнатата машина се рестартира.