Microsoft ha pubblicato i risultati di una lunga indagine relativa all’uso di un tool da parte del gruppo Forest Blizzard, noto anche come Strontium, Fancy Bear o APT28, affiliato al GRU, l’agenzia di intelligence militare della Russia. GooseEgg permette di ottenere privilegi elevati e rubare le credenziali sfruttando una vecchia vulnerabilità del Windows Print Spooler.
Patch disponibile per mitigare il pericolo
GooseEgg viene usato da Forest Blizzard dopo aver effettuato l’accesso alla rete aziendale. Lo scopo principale è ottenere privilegi elevati. Il tool viene distribuito mediante un batch script, denominato execute.bat
o doit.bat
, che lancia l’eseguibile del tool e scrive su disco il file servtask.bat
per creare un’attività pianificata (persistenza).
GooseEgg copia inoltre il file wayzgoose23.dll
sottodirectory della directory C:\ProgramData
. Sfruttando la vulnerabilità CVE-2022-38028 del Windows Print Spooler, il tool carica in memoria la DLL con permessi SYSTEM nel contesto del servizio PrintSpooler.
La DLL è in realtà un “app launcher” che può eseguire altri payload, sempre con privilegi SYSTEM. I cybercriminali possono quindi installare backdoor, eseguire codice remoto sui computer e cambiare target attraverso un movimento laterale nella rete compromessa.
Ovviamente la migliore soluzione per mitigare i rischi è installare la patch rilasciata l’11 ottobre 2022. Print Spooler non è necessario sui controller di dominio, quindi il servizio può essere disattivato. Nonostante la vulnerabilità sia stata già sfruttata per eseguire vari attacchi, nel bollettino di sicurezza è ancora scritto che non sono stati rilevati exploit in circolazione.