Comment le groupe Forest Blizzard a-t-il utilisé un bug caché de Windows pour implanter le malware GooseEgg ?

La vulnérabilité exploitée par le groupe Forest Blizzard a été identifiée dans le service Print Spooler de Windows. Ce composant essentiel du système d’exploitation gère les impressions en mettant en file d’attente les documents en attente d’être imprimés. Cependant, il a été découvert que certaines lacunes de sécurité dans ce service permettaient une élévation de privilèges à des acteurs malveillants.

Le groupe Advanced Persistent Threat (APT) connu sous le nom de Forest Blizzard a mis à profit cette vulnérabilité, repérée sous l’identifiant CVE-2022-38028, classée avec un score de 7.8/10 sur l’échelle CVSS (Common Vulnerability Scoring System), indiquant une gravité élevée.

La faille a finalement été corrigée lors du Patch Tuesday en octobre 2022, mais pas avant que Forest Blizzard n’ait déjà mis en œuvre ses attaques exploitant cette brèche.

Déploiement et fonctionnement de GooseEgg

Une fois l’accès au système acquis via la faille de sécurité, le malware nommé GooseEgg était injecté. Ce logiciel malveillant, jusqu’alors inconnu des bases de données des fournisseurs de sécurité, était principalement utilisé pour obtenir une élévation de privilèges sur les systèmes infectés. GooseEgg était exécuté grâce à un script batch, un simple fichier texte contenant une série de commandes destinées à être exécutées par l’interpréteur de commandes Windows.

Le malware était capable de lancer d’autres applications avec des droits élevés, facilitant ainsi une multitude d’actions malveillantes telles que le vol d’identifiants, l’exécution de code à distance, ou la mise en place de portes dérobées, permettant aux assaillants de se déplacer latéralement à travers des réseaux compromis.

Implications et recommandations de sécurité

La découverte et l’exploitation de cette vulnérabilité par Forest Blizzard ont mis en évidence les risques associés aux services système couramment utilisés tels que le Print Spooler de Windows. Les entités attaquées comprenaient des organisations gouvernementales et non gouvernementales en Ukraine, en Europe occidentale, en Amérique du Nord ainsi que dans les secteurs de l’éducation et des transports.

Microsoft, en réponse aux actions de Forest Blizzard, a non seulement appliqué un patch pour rectifier la faille, mais a également recommandé des mesures de précaution supplémentaires aux utilisateurs de Windows.

Ces mesures incluent la désactivation du service Windows Print Spooler sur les contrôleurs de domaine, l’exécution de l‘Endpoint Detection and Response (EDR) en mode bloqué, l’automatisation des processus d’investigation et de remédiation sur Microsoft Defender et l’activation de la protection cloud sur Defender Antivirus.

Cette affaire montre l’importance d’une vigilance et d’une maintenance régulières des systèmes, renforcées par une surveillance proactive et une réponse rapide aux incidents de sécurité pour protéger les actifs numériques contre les menaces avancées et persistantes.