Microsoft tarafından Forest Blizzard olarak takip edilen, ancak daha yaygın olarak Fancy Bear veya APT28 olarak bilinen Rusya destekli gelişmiş kalıcı tehdit (APT) operasyonu, eğitimi hedeflemek için özel bir araçla Windows Yazdırma Biriktiricisi’ndeki iki yıllık bir güvenlik açığından yararlanıyor. Ukrayna, Batı Avrupa ve Kuzey Amerika’daki hükümet ve ulaştırma sektörü kuruluşları.
GooseEgg olarak adlandırılan araç, CVSS taban puanı 7,8 olan bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2022-38028’den yararlanıyor ve Fancy Bear bunu muhtemelen Haziran 2020’den bu yana, muhtemelen Nisan 2019’dan beri kullanıyor.
Araç, bir JavaScript kısıtlama dosyasını değiştirerek ve ardından bunu sistem düzeyinde izinlerle çalıştırarak çalışır ve tehdit aktörünün ayrıcalıklarını yükseltmesine ve kurbanlarından hayati önem taşıyan kimlik bilgilerini çalmasına olanak tanır.
GooseEgg nispeten basit bir başlatıcı olmasına rağmen, komut satırında belirtilen diğer uygulamaları yükseltilmiş ayrıcalıklarla da üretebilir; böylece kullanıcısının arka kapı kurulumu, yanal hareket ve uzaktan kod yürütme dahil diğer hedefleri desteklemesine olanak tanır.
Rus tehdit aktörleri uzun süredir benzer güvenlik açıklarına meraklıydı (2021’de ortaya çıkan PrintNightmare gibi) ancak Microsoft’a göre GooseEgg’in kullanımı daha önce hiç bildirilmemiş “benzersiz bir keşif”.
Microsoft Tehdit İstihbaratı ekibi yazısında, “Microsoft, kuruluşların kendilerini korumalarına yardımcı olmak için gözlemlenen kötü amaçlı faaliyetlere ilişkin görünürlük sağlamaya ve tehdit aktörlerine ilişkin içgörüleri paylaşmaya kararlıdır” dedi. “Kuruluşlar ve kullanıcılar bu tehdidi azaltmak için CVE-2022-38028 güvenlik güncelleştirmesini uygulamalıdır; Microsoft Defender Antivirüs ise belirli Forest Blizzard özelliğini HackTool:Win64/GooseEgg olarak algılar.”
Ekip, buna ek olarak, etki alanı denetleyicisi işlemleri için Windows Yazdırma Biriktiricisi’ne ihtiyaç duyulmadığından, mümkünse etki alanı denetleyicilerinde devre dışı bırakılmasının önerildiğini söyledi.
Bunun ötesinde Microsoft, kullanıcıların kimlik bilgileri sağlamlaştırma önerilerini takip etmek gibi adımlar atarak “proaktif olarak savunmacı” olmaya çalışmaları gerektiğini söyledi; Uç Nokta için Microsoft Defender’ın, diğer antivirüsler tespit etmemiş olsa bile, kötü niyetli yapıları engellemesine olanak sağlamak amacıyla uç nokta tespit ve yanıtını (EDR) blok modunda çalıştırmak; Defender for Endpoint’in sorunların araştırılmasını ve düzeltilmesini otomatikleştirmesine izin vermek; ve Microsoft Defender Antivirus’te bulut tarafından sağlanan korumayı etkinleştirme.
Sevco Security kurucu ortağı Greg Fitzgerald, GooseEgg’in keşfinin güvenlik dünyasında güvenlik açığı yönetimine dikkat edilmemesinin ötesinde daha geniş bir soruna işaret ettiğini söyledi.
“Güvenlik ekipleri CVE’leri tespit etme ve düzeltme konusunda inanılmaz derecede verimli hale geldi” dedi, “ancak kötü niyetli aktörlerin verilere erişmesine olanak tanıyan güvenlik boşlukları yaratan, bu durumda yazdırma süreçlerini yöneten Windows Yazdırma Biriktiricisi hizmetindeki çevresel güvenlik açıkları giderek artıyor.” .
Fitzgerald, “Bu güvenlik açıkları BT ortamlarında açıkça gizleniyor ve güvenlik ekiplerinin göremediği ancak yine de sorumlu olduğu bir tehdit ortamı yaratıyor” dedi. “Talihsiz gerçek şu ki çoğu kuruluş, saldırı yüzeyinin tamamını yansıtan doğru bir BT varlık envanteri oluşturamıyor.
“Bu onları, istismar edilebilir güvenlik açıkları içeren unutulmuş BT varlıklarını nerede arayacaklarını bilen saldırganların insafına bırakıyor.”
GooseEgg’i tespit etme, arama ve yanıt verme konusunda daha fazla rehberliğe Microsoft’tan ulaşılabilir.