Corrigée depuis deux ans, une faille Windows activement exploitée par des pirates russes
Faille 1460-days
Le groupe de pirates APT28, aussi connu sous les noms de Fancy Bear et Forest Blizzard, exploite une vulnérabilité connue dans le spouleur d’impression de Windows. Cette faille, exploitée depuis quatre ans environ, est corrigée depuis deux ans. Suite à l’apparition d’un nouveau malware, elle revient sur le devant de la scène.
Le 25 avril à 09h00
7 min
Sécurité
Sécurité
Le spouleur d’impression de Windows aura été une source régulière de vulnérabilités, toutes versions du système confondues. En 2021, on se rappelle notamment PrintNightmare, de son vrai nom CVE-2021-34527. Exploitée, elle permettait l’exécution d’un code arbitraire avec des privilèges système, le tout à distance. On pouvait difficilement faire pire. La suite n’avait pas été glorieuse, puisque le correctif initial s’était révélé incomplet. Microsoft avait même publié un patch pour Windows 7, alors que le système n’avait déjà plus de support technique.
En 2022, une autre faille apparaît. Estampillée CVE-2022-38028, elle est corrigée en octobre de la même année, suite à un signalement de la NSA. Exploitée, elle pouvait permettre une élévation des privilèges et aboutir, sur un système ayant déjà été compromis, à l’exécution d’un code arbitraire avec des droits système.
La faille, moins sévère que celle de 2021, restait dangereuse. Et son histoire n’est pas terminée : elle est toujours exploitée, signe que des structures n’ont toujours pas appliqué le correctif correspondant. D’autant que derrière l’exploitation, on trouve APT28, un groupe rattaché au renseignement militaire russe et spécialisé dans la collecte de renseignements.
APT28, un vieux de la vieille
APT28 fait parler de lui depuis des années. Il a souvent été présenté sous le nom de Fancy Bear. Microsoft, dans un récent bulletin, y fait référence en tant que Forest Blizzard et STRONTIUM. D’autres noms lui ont été attribués dans le temps, dont Sednit, Sofacy et Unit 26165. En 2021, les gouvernements américain et britannique ont directement relié l’Unit 26165 à la Direction générale des renseignements, une agence de l’État-Major des Forces armées de la fédération de Russie, aussi appelée GRU.
Dans un bulletin publié lundi, Microsoft indique que Forest Blizzard s’est principalement fait connaitre pour ses opérations de vols d’identifiants et de renseignements, dans le but d’appuyer les « initiatives de politique étrangère du gouvernement russe », depuis au moins 2010.
Les organisations gouvernementales, énergétiques, de transport et non gouvernementales aux États-Unis, en Europe et au Moyen-Orient ont été visées. Le groupe a également des cibles secondaires, dont des médias, des entreprises spécialisées dans les technologies de l'information, des organisations sportives et des établissements d'enseignement, un peu partout dans le monde.
GooseEgg, un nouveau venu dans la cour des malwares
Selon Microsoft, GooseEgg est un nouveau malware, spécialisé dans la post-compromission d’une machine. C’est ce malware qui exploite la vulnérabilité CVE-2022-38028, utilisée uniquement pour l’accroissement des privilèges et l’exécution des opérations qui intéressent APT28. Par post-compromission, on entend que la machine doit avoir été compromise initialement avec une autre faille, notamment CVE-2023-23397, également exploitée par APT28 à l’automne 2023 pour viser des membres du gouvernement ukrainien.
Si les pirates arrivent à prendre pied et que la faille de 2022 est exploitée à son tour, GooseEgg entre en piste. Il est lancé par un simple script batch nommé « execute.bat » ou « doit.bat ». Sa première action est de se rendre persistant en ajoutant une tâche planifiée lançant « servtask.bat ». Dans la foulée, GooseEgg ajoute un fichier DLL – dont le nom contient toujours « wayzgoose » – dans le contexte du service PrintSpooler de Windows, le tout avec les autorisations SYSTEM. La DLL est enregistrée, avec d’autres composants du malware, dans un dossier courant de C:\ProgramFiles, comme Adobe, Microsoft, Intel, NVIDIA ou encore Steam.
Cette DLL est en fait un lanceur d’applications. Selon le contexte, elle va permettre l’installation d’autres composants qui auront alors pour missions d’ouvrir des portes dérobées, d’exécuter du code à distance, de se déplacer latéralement dans le réseau de la structure et ainsi de suite.
GooseEgg est en quelque sorte une base d’opération utilisable en ligne de commande. Les autres applications exécutées récupérant tous les droits SYSTEM, il n’y a guère de limite à ce que les pirates peuvent accomplir sur un système compromis. Dans le gestionnaire des tâches, GooseEgg apparaît souvent comme justice.exe ou DefragmentSrv.exe.
C’est ce même outil qui permet le vol d’identifiants et de renseignements, tout comme la personnalisation de l’attaque en fonction de la cible. GooseEgg n’est en effet pas un malware automatisé, mais un programme piloté en temps réel par une ou plusieurs personnes, qui peuvent ainsi s’adapter au contexte.
Mais… une faille de 2022 ?
Qu’un groupe de pirates connu pour sa grande maitrise technique se serve d’une faille dans Windows n’a rien de neuf. Nous avions ainsi parlé d’APT28 lors d’une vaste opération initiée par le FBI visant à nettoyer des milliers de routeurs. Le groupe de pirates avait récupéré le contrôle d’un ancien malware et s’en était servi pour ses collectes de renseignements. Selon le FBI, le succès était limité, notamment parce qu’une partie du matériel ne pouvait pas être directement nettoyée.
L’affaire avait relancé les discussions autour des politiques de mises à jour. De nombreuses structures n’avaient en effet pas installé les correctifs pour leur matériel, laissant les mêmes vieilles versions perdurer des années. Pour des équipements faisant face à Internet, ce manque de prévoyance (ou de discipline) ne pouvait que mal finir.
C’est également le cas ici. La faille CVE-2022-38028 a été corrigée en octobre 2022 par Microsoft. Cela fait donc 18 mois que la mise à jour est disponible. Cependant, il y a au moins une circonstance atténuante : dans sa note technique sur la faille, Microsoft ne précise pas qu’elle est activement exploitée.
Une précision importante, car de nombreuses entreprises et autres structures tablent sur ce type d’information pour établir des priorités. Tous les correctifs ne sont pas forcément installés dès leur parution.
L’omission de Microsoft est actuellement double : non seulement le bulletin de 2022 ne fait pas mention d’une exploitation – dont l'entreprise avait pourtant été avertie par la NSA – mais la nouvelle situation ne s’y reflète pas non plus. Alors même que la société a publié lundi des explications techniques sur le fonctionnement du malware. À l’heure où nous publions ces lignes, le bulletin n’est pas à jour.
La solution reste simple
Les conseils de Microsoft sont relativement évidents. La solution la plus simple est ainsi d’installer le correctif pour la faille CVE-2022-38028, qui sert de tremplin. Les structures concernées sont également encouragées à colmater la brèche CVE-2023-23397, souvent utilisée pour la compromission initiale. Si ce n’est pas encore fait, il faut aussi installer le correctif pour la vulnérabilité CVE-2021-34527 (PrintNightmare).
Même en cas d’installation de tous les correctifs, les administrateurs sont invités à faire le tour de tous les contrôleurs de domaine pour vérifier si le service d’impression y est nécessaire. Partout où cela est possible, il faudra le désactiver. Un conseil peu étonnant, puisque c’est une règle d’hygiène numérique élémentaire : ne jamais laisser actifs des composants n’ayant aucune utilité dans un contexte donné. L’opération devrait être répétée pour les serveurs membres et les postes de travail.
Corrigée depuis deux ans, une faille Windows activement exploitée par des pirates russes
-
APT28, un vieux de la vieille
-
GooseEgg, un nouveau venu dans la cour des malwares
-
Mais… une faille de 2022 ?
-
La solution reste simple
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/04/2024 à 09h09
Le 25/04/2024 à 09h25
Le 25/04/2024 à 09h40
Le 25/04/2024 à 11h06
Modifié le 25/04/2024 à 19h15
Mais comme tout ce qui tombe sous l'évidence, tu trouveras toujours un "plus malin que les autres" qui te demander "Ben pourquoi ?" parce qu'ignare de sa propre cage.
Et on te dira que ça n'est que ton opinion, tout aussi valable que les autres.
Les entreprises sont noyautées par des utilisateurs biberonnés aux technologies Microsoft qui ne savent plus ne serait-ce qu'imaginer s'en départir sans suer à grosse gouttes et bégayer de peur… qui ils ne sont tout simplement pas incapable d'apprendre autre chose, de remettre en question leur syndrome de Stockholm, ou même ne serait-ce que réaliser qu'ils sont malades.
La levée de bouclier des prisonniers à l'ego touché est rapide & violente. Perdant toute notion de vérité, ils se lancent alors dans une contre-attaque, à laquelle tous les prisonniers se raccrochent.
Et l'idée d'un SI sain, la question difficile d'une dé-Microsoftisation des entreprises, ne peut alors même plus être posée, car le constat initial de l'infection à long-terme n'est alors plus possible.
Ces ignares qualifient alors cela de "gué-guerre Windows/Linux" (sans GNU), car, encore une fois, pour (j'avais écrit "peur", lapsus révélateur) eux, ce n'est qu'une opinion, aussi valable que la leur. Cela serait un vrai problème, ils seraient alors coupables, ce qui ne leur est pas possible d'accepter.
On ne soulignera donc jamais assez les dangers et les conséquences sociétales à long-terme de l'embrigadement actuel, ayant court depuis des lustres, dès le plus jeune âge, des enfants/adolescents/étudiants aux technologies propriétaires & privatrices, en leur faisant utiliser et ainsi les habituant à ces piles/pelles de merde technologique.
Le 26/04/2024 à 14h02
Tu as l'air d'avoir un peu de mal avec les solutions MS, ça doit faire quelques (dizaines d') années que ça a évolué. La formation continue c'est important, n'hésite pas à te remettre à jour. Et si tu n'as pas de CPF ou autre, tu apprendras plein de choses sur learn.microsoft.com :)
Le 26/04/2024 à 15h11
Du coup, j'ai opté pour la solution don't feed the troll
Modifié le 26/04/2024 à 14h02
Modifié le 25/04/2024 à 13h51
Sur les postes de travail, ce n'est pourtant pas franchement la logique qu'on peut observer. Aussi bien windows que linux (mint, en tout cas et que je connais bien), tous deux ont un tas de modules/programmes/apps installés d'office : de quoi faire du partage de ci, ou de ca, de quoi autoriser des prises de controles, du cloud etc. Bref, ce serait pourtant pas bien dur d'avoir par défaut une configuration ultraminimaliste, et de demander ce qu'on souhaite faire :
- surfer -> OK, chosir un navigateur (edge, chromium, FF, autre...)
- programmer -> OK, proposer de choisir différents outils (arduino, octave, python, codeblocks, anaconda etc.)
- bureautique -> proposer LO
- multimedia -> proposer un lecteur, de quoi projeter, accéder à son NAS etc.
- usage général -> proposer Imprimante, editeur de texte, console
Bref, tout le monde n'a pas besoin d'un client ou d'un serveur SSH, FTP, d'un terminal (même sous linux), de jeux "débile" ou encore de "drive je sais pas quoi ou imposé"
OK, sous linux, à coup de shell, on peut automatiser des suppressions à l'installation, mais bon, ce serait mieux d'être en opt-in.
Et je ne parle pas des services sur les deux plateformes...
Le 25/04/2024 à 15h21
Mais chez Windows, c'est sur des torrent ou consort qu'on trouve des versions similaires, parfois très bien faites , mais l'OS n'aime pas trop qu'on enlève des trucs.
Modifié le 25/04/2024 à 15h38
Par contre, sous 7/10/11, s'il y a bien UNE commande que j'applique en powershell, c'est celle qui permet de "virer toutes les APPS sauf le store"... et la seconde manip, c'est passer par Adguard Home pour le serveur de DNS. Evidément, je refuse quasi tout ce que propose MS à l'installation.
Le 25/04/2024 à 16h21
A moins que la sécurité du store ai évolué, je considère que laisser à l'utilisateur la possibilité d'installer n'importe quoi ; comme des malwares déguisés en VLC, par exemple ; est un problème.
Le 25/04/2024 à 17h47
Le 25/04/2024 à 22h19
Le 26/04/2024 à 10h53
Get-AppxPackage -AllUsers | where-object {$_.name –notlike "store"} | Remove-AppxPackage
Le 26/04/2024 à 13h23
Le 25/04/2024 à 16h48
Modifié le 27/04/2024 à 11h16
Ces services avec droits "SYSTEM" c'est complètement délirant. J'imagine déjà la réponse, mais je suppose qu'apache ou IIS c'est pareil aucun user ou groupe dédié, des droits génériques SYSTEM, et toute la sécurité repose sur le fait que les dev d'apache / IIS aient blindé la sécurité.
Le 27/04/2024 à 12h28
Sinon, les imprimantes ne sont pas que des imprimantes réseaux. Il y a aussi les imprimantes branchées directement à la machine. Et là, quand tu imprimes un document, il faut bien que le service accède au document à imprimer, quelque soit l'utilisateur. Donc oui, SYSTEM à un sens.
De même que sous linux, les postfix, dovecot, etc. tourne en root car besoins d'accéder aux dossiers des utilisateurs et des services. De même que journald, le planificateur de tâches (cron), etc. Même CUPS (Common UNIX Printing System) , de mémoire, nécessite les droits root pour tourner. J'en déduis donc que Linux est n'a aucune sécurité !