La operación de amenaza persistente avanzada (APT, por sus siglas en inglés) respaldada por Rusia, rastreada como Forest Blizzard por Microsoft, pero más comúnmente conocida como Fancy Bear o APT28, está explotando una vulnerabilidad de dos años en Windows Print Spooler con una herramienta personalizada para apuntar a la educación. organizaciones gubernamentales y del sector del transporte en Ucrania, Europa occidental y América del Norte. La herramienta, conocida como GooseEgg, explota CVE-2022-38028, una vulnerabilidad de elevación de privilegios con una puntuación base CVSS de 7,8, y es probable que Fancy Bear la haya estado utilizando desde junio de 2020, y posiblemente ya en abril de 2019. funciona modificando un archivo de restricciones de JavaScript y luego ejecutándolo con permisos a nivel de sistema, lo que permite al actor de amenazas elevar sus privilegios y robar credenciales vitales de sus víctimas. Aunque GooseEgg es un iniciador relativamente simple, también puede generar otras aplicaciones especificadas en la línea de comando con privilegios elevados, lo que permite al usuario respaldar otros objetivos, incluida la instalación de puertas traseras, movimiento lateral y ejecución remota de código. Los actores de amenazas rusos llevan mucho tiempo interesados ​​en vulnerabilidades similares, como PrintNightmare, que surgió en 2021, pero según Microsoft, el uso de GooseEgg es un “descubrimiento único” que nunca antes se había informado. «Microsoft se compromete a brindar visibilidad de la actividad maliciosa observada y a compartir información sobre los actores de amenazas para ayudar a las organizaciones a protegerse», dijo el equipo de Microsoft Threat Intelligence en su artículo. «Las organizaciones y los usuarios deben aplicar la actualización de seguridad CVE-2022-38028 para mitigar esta amenaza, mientras que Microsoft Defender Antivirus detecta la capacidad específica de Forest Blizzard como HackTool:Win64/GooseEgg». Además de esto, dijo el equipo, dado que Windows Print Spooler no es necesario para las operaciones del controlador de dominio, se recomienda desactivarlo en los controladores de dominio si es posible. Más allá de esto, Microsoft dijo que los usuarios deberían esforzarse por estar “proactivamente a la defensiva”, tomando medidas como seguir recomendaciones de refuerzo de credenciales; ejecutar detección y respuesta de endpoints (EDR) en modo de bloqueo para permitir que Microsoft Defender for Endpoint bloquee artefactos maliciosos incluso si otros antivirus no los han detectado; permitir que Defender for Endpoint automatice la investigación y solución de problemas; y activar la protección proporcionada en la nube en Microsoft Defender Antivirus. El cofundador de Sevco Security, Greg Fitzgerald, dijo que el descubrimiento de GooseEgg hablaba de un problema más amplio en el mundo de la seguridad que la mera falta de atención a la gestión de vulnerabilidades. «Los equipos de seguridad se han vuelto increíblemente eficientes a la hora de identificar y remediar CVE», dijo, «pero son cada vez más estas vulnerabilidades ambientales (en este caso dentro del servicio Windows Print Spooler, que gestiona los procesos de impresión) las que crean brechas de seguridad que dan a los actores malintencionados acceso a los datos. . «Estas vulnerabilidades se esconden a plena vista en todos los entornos de TI, creando un panorama de amenazas que los equipos de seguridad no pueden ver, pero de las que aún son responsables», afirmó Fitzgerald. “La desafortunada realidad es que la mayoría de las organizaciones no pueden crear un inventario preciso de activos de TI que refleje la totalidad de su superficie de ataque. «Esto los pone a merced de los atacantes que saben dónde buscar activos de TI olvidados que contengan vulnerabilidades explotables». Microsoft ofrece más orientación sobre cómo detectar, buscar y responder a GooseEgg.