Comment le groupe Forest Blizzard a-t-il utilisé un bug caché de Windows pour implanter le malware GooseEgg ?
La vulnérabilité exploitée par le groupe Forest Blizzard a été identifiée dans le service Print Spooler de Windows. Ce composant essentiel du système d’exploitation gère les impressions en mettant en file d’attente les documents en attente d’être imprimés. Cependant, il a été découvert que certaines lacunes de sécurité dans ce service permettaient une élévation de privilèges à des acteurs malveillants.
Le groupe Advanced Persistent Threat (APT) connu sous le nom de Forest Blizzard a mis à profit cette vulnérabilité, repérée sous l’identifiant CVE-2022-38028, classée avec un score de 7.8/10 sur l’échelle CVSS (Common Vulnerability Scoring System), indiquant une gravité élevée.
La faille a finalement été corrigée lors du Patch Tuesday en octobre 2022, mais pas avant que Forest Blizzard n’ait déjà mis en œuvre ses attaques exploitant cette brèche.
Déploiement et fonctionnement de GooseEgg
Une fois l’accès au système acquis via la faille de sécurité, le malware nommé GooseEgg était injecté. Ce logiciel malveillant, jusqu’alors inconnu des bases de données des fournisseurs de sécurité, était principalement utilisé pour obtenir une élévation de privilèges sur les systèmes infectés. GooseEgg était exécuté grâce à un script batch, un simple fichier texte contenant une série de commandes destinées à être exécutées par l’interpréteur de commandes Windows.
Le malware était capable de lancer d’autres applications avec des droits élevés, facilitant ainsi une multitude d’actions malveillantes telles que le vol d’identifiants, l’exécution de code à distance, ou la mise en place de portes dérobées, permettant aux assaillants de se déplacer latéralement à travers des réseaux compromis.
Implications et recommandations de sécurité
La découverte et l’exploitation de cette vulnérabilité par Forest Blizzard ont mis en évidence les risques associés aux services système couramment utilisés tels que le Print Spooler de Windows. Les entités attaquées comprenaient des organisations gouvernementales et non gouvernementales en Ukraine, en Europe occidentale, en Amérique du Nord ainsi que dans les secteurs de l’éducation et des transports.
Microsoft, en réponse aux actions de Forest Blizzard, a non seulement appliqué un patch pour rectifier la faille, mais a également recommandé des mesures de précaution supplémentaires aux utilisateurs de Windows.
Ces mesures incluent la désactivation du service Windows Print Spooler sur les contrôleurs de domaine, l’exécution de l‘Endpoint Detection and Response (EDR) en mode bloqué, l’automatisation des processus d’investigation et de remédiation sur Microsoft Defender et l’activation de la protection cloud sur Defender Antivirus.
Cette affaire montre l’importance d’une vigilance et d’une maintenance régulières des systèmes, renforcées par une surveillance proactive et une réponse rapide aux incidents de sécurité pour protéger les actifs numériques contre les menaces avancées et persistantes.
-
Groupe électrogène à essence INTENS - KOHLER-SDMO - HX 3000 C5<p>Le groupe électrogène à essence INTENS de Kohler-SDMO est une source d'énergie portable qui offre des performances fiables dans diverses situations. Il est équipé d'un moteur professionnel de marque HONDA. Ce générateur est conçu pour répondre à des besoins monophasés en énergie. Il utilise de l'essence, ce qui le rend adapté à une utilisation polyvalente. Ensuite, son démarrage se fait aisément grâce à un système de lanceur. Sa robustesse et ses performances en font un outil idéal pour les utilisations exigeantes.</p> <p>En ce qui concerne la sécurité, celui-ci est doté d'une fonction de sécurité d'huile, garantissant un fonctionnement sûr. L'alternateur utilise la technologie sans bague ni balai, offrant ainsi l'endurance et la simplicité nécessaires pour des utilisations répétées et dans des conditions difficiles. En somme, ce groupe électrogène est l'option parfaite pour ceux qui recherchent une source d'énergie portable et fiable, que ce soit pour des besoins professionnels ou personnels.</p> -
Pneu Arrière Pirelli MT 90A/T Scorpion -Le Pirelli Scorpion MT 90A/T est conçu pour les courses d’enduro sur route pour les motos avec des moteurs de toutes les cylindrées. Le Scorpion MT est optimisé pour offrir la meilleure stabilité à la vitesse la plus élevée avec une charge maximale. Il est flexible lorsqu’il est utilisé sur les routes asphaltées et les terrains accidentés, avec des niveaux élevés de tenue de route et de sécurité sur tous les types de surfaces.Caractéristiques : Bande de roulement avec de grands crampons centraux pour une conduite plus stable et disposition en V pour une adhérence maximale en traction et en freinage. Carcasse optimisée pour une meilleure stabilité à haute vitesse même à pleine charge Composé avec une teneur en silice équilibrée qui assure un kilométrage élevé et une meilleure adhérence sur les surfaces humides et sèches. -
Pneu Arrière Pirelli MT 90A/T Scorpion -Le Pirelli Scorpion MT 90A/T est conçu pour les courses d’enduro sur route pour les motos avec des moteurs de toutes les cylindrées. Le Scorpion MT est optimisé pour offrir la meilleure stabilité à la vitesse la plus élevée avec une charge maximale. Il est flexible lorsqu’il est utilisé sur les routes asphaltées et les terrains accidentés, avec des niveaux élevés de tenue de route et de sécurité sur tous les types de surfaces.Caractéristiques : Bande de roulement avec de grands crampons centraux pour une conduite plus stable et disposition en V pour une adhérence maximale en traction et en freinage. Carcasse optimisée pour une meilleure stabilité à haute vitesse même à pleine charge Composé avec une teneur en silice équilibrée qui assure un kilométrage élevé et une meilleure adhérence sur les surfaces humides et sèches.
Commentaires
Laisser un commentaire