Actu
Tenable - Commentaire sur exploitation CVE-2022-38028
avril 2024 par Satnam Narang, Senior Staff Research Engineer chez Tenable
Satnam Narang, Senior Staff Research Engineer pour Tenable, a étudié une ancienne vulnérabilité sur Print Spooler (CVE-2022-38028 : GooseEgg EoP Exploit ) qui est toujours exploitée et vous livre son commentaire sur le sujet :
Quelles sont les conséquences de l’exploitation de CVE-2022-38028 ?
CVE-2022-38028 est une vulnérabilité d’élévation de privilèges qui est utilisée dans le cadre d’une activité post-compromission. Dans ce cas, un logiciel malveillant appelé GooseEgg a été utilisé pour exploiter cette faille afin d’élever les privilèges, ce qui pourrait permettre aux attaquants d’installer d’autres logiciels malveillants comme une porte dérobée ou ils pourraient utiliser ces privilèges élevés pour effectuer un mouvement latéral à travers le réseau afin de découvrir d’autres systèmes qui détiennent des informations plus sensibles.
Print Spooler a été corrigé il y a plus d’un an, quelle pourrait être l’ampleur de ces attaques ?
D’après les informations publiquement disponibles, il semble que l’exploitation de CVE-2022-38028 ait été liée aux activités de l’acteur russe connu sous le nom d’APT28 ou Forest Blizzard. Les attaques menées par des groupes APT tels qu’APT28 sont ciblées par nature car leurs objectifs sont souvent plus ancrés dans l’espionnage et la collecte de renseignements, alors que les groupes de ransomware sont purement motivés par des considérations financières. Nous n’avons pas d’autres indications que CVE-2022-38028 a été exploité par d’autres acteurs malveillants à l’heure actuelle. Les organisations qui n’ont pas encore appliqué les correctifs disponibles pour les failles Print Spooler telles que CVE-2022-38028 et les vulnérabilités liées à PrintNightmare (CVE-2021-34527, CVE-2021-1675) devraient le faire dès que possible afin de contrecarrer une éventuelle exploitation future par APT28 ou d’autres acteurs de la menace.
Qu’y a-t-il de remarquable à ce qu’un APT soutenu par un pays utilise une vulnérabilité connue ?
Historiquement, les groupes APT étaient souvent liés à l’exploitation de vulnérabilités de type "zero-day" qu’ils développaient ou achetaient à des développeurs d’exploits. Cependant, nous avons constaté une tendance selon laquelle les groupes APT utilisent des exploits accessibles au public pour des vulnérabilités connues, car malheureusement, les vulnérabilités non corrigées restent répandues dans de nombreuses organisations. Ces exploits accessibles au public ne coûtent rien à acquérir et sont souvent prêts à l’emploi, ce qui facilite leur utilisation.
