Há medidas de prevenção que podem, e devem, ser tomadas.
Em outubro de 2022, a Microsoft corrigiu uma vulnerabilidade de segurança que estava marcada com o CVE-2022-38028, que afetava o serviço Windows Print Spooler para gerir as tarefas de impressão no sistema operativo. A vulnerabilidade havia sido relatada pela… agência de inteligência americana NSA (Agência de Segurança Nacional). Na ocasião, não havia menção à exploração ativa dessa vulnerabilidade. Agora, os investigadores de segurança cibernética da Microsoft revelam que o grupo Forest Blizzard tem explorado a falha CVE-2022-38028 desde pelo menos junho de 2020, ou mesmo abril de 2019.
O Forest Blizzard é identificado como um grupo russo que é apoiado pelo Kremlin, sendo afiliado a uma unidade do serviço de inteligência militar russa. Outros nomes atribuídos são APT28, Sednit, Sofacy ou mesmo Fancy Bear. Os seus alvos preferenciais são organizações governamentais, o setor da energia e dos transportes e ONG nos Estados Unidos, na Europa e no Médio Oriente.
Depois de obter privilégios de sistema através da exploração do CVE-2022-38028, os elementos do Forest Blizzard utilizaram uma ferramenta anteriormente não documentada chamada GooseEgg para roubar credenciais dos utilizadores. Essa ferramenta é implantada através da execução de um script em lote e, na linha de comando, a GooseEgg é capaz de gerar outras aplicações com permissões elevadas.
“Atores maliciosos podem atingir objetivos subsequentes, como execução remota de código, instalação de backdoor e movimentação lateral dentro de redes comprometidas”.
Os indicadores de comprometimento são publicados numa publicação no blog. São também detalhadas medidas defensivas que podem, e devem, ser tomadas, ao mesmo tempo em que destaca que o Microsoft Defender Antivirus deteta componentes de ameaça como malware HackTool:Win64/GooseEgg.
CVE-2022-38028 atormenta utilizadores do Windows
Este caso demonstra que, mesmo que as vulnerabilidades de segurança pareçam mais inócuas do que outras durante um Patch Tuesday, ações de correção não devem ser evitadas. E quando chega um relatório da NSA, já é uma pista para alvos potencialmente expostos.