{"id":294667,"date":"2024-04-23T08:37:57","date_gmt":"2024-04-23T06:37:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294667"},"modified":"2024-04-23T14:45:59","modified_gmt":"2024-04-23T12:45:59","slug":"windows-print-spooler-schwachstelle-cve-2022-38028-bevorzugtes-einfallstor-russischer-angreifer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/23\/windows-print-spooler-schwachstelle-cve-2022-38028-bevorzugtes-einfallstor-russischer-angreifer\/","title":{"rendered":"Windows Print-Spooler-Schwachstelle CVE-2022-38028 bevorzugtes Einfallstor russischer Angreifer"},"content":{"rendered":"

\"Windows\"[English<\/a>]Die alte Print-Spooler-Schwachstelle CVE-2022-38028 in Windows ist wohl das bevorzugte Angriffsziel der russischen Hackergruppe Fancy Bear. Das hat die Analyse eines Angriffstools ('GooseEgg' Malware) durch Microsoft ergeben. Auf aktuell gepatchten Windows-Betriebssystemen ist dieser Angriffsvektor aber nicht mehr ausnutzbar, wie Microsoft in einem Blog-Beitrag offen gelegt hat.<\/p>\n

<\/p>\n

Analyse der GooseEgg-Malware<\/h2>\n

\"\"Das Sicherheitsteam von Microsoft Threat Intelligence hat sich \u00fcber Jahre mit den Aktivit\u00e4ten des in Russland ans\u00e4ssigen Bedrohungsakteurs Forest Blizzard (STRONTIUM) besch\u00e4ftigt. Diese Hackergruppe, die im Umfeld des Nachrichtendiensts (GRU) angesiedelt sein muss, hat ein eigenes Tool mit dem Namen 'GooseEgg' entwickelt, um Windows-Systeme anzugreifen und dann in Netzwerken die Berechtigungen zu erh\u00f6hen, Anmeldeinformationen abzugreifen und weiter in die IT-Infrastruktur einzudringen.<\/p>\n

Laut dem Microsoft Blog-Beitrag Analyzing Forest Blizzard's custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials<\/a> vom 22. April 2024 verwendet die Gruppe Forest Blizzard seit mindestens Juni 2020 (m\u00f6glicherweise bereits seit April 2019) das Tool GooseEgg f\u00fcr seine Angriffe. Das Tool greift \u00fcber eine JavaScript-Einschr\u00e4nkungsdatei<\/a><\/u> die Sicherheitsl\u00fccke CVE-2022-38028<\/a><\/u> im Windows Print Spooler-Dienst an, indem es diese JavaScript-Einschr\u00e4nkungsdatei \u00e4ndert und dann mit Berechtigungen auf SYSTEM-Ebene ausf\u00fchrt.<\/p>\n

Microsoft Aktivit\u00e4ten von Forest Blizzard beobachten, bei denen GooseEgg im Rahmen von Aktivit\u00e4ten nach der Kompromittierung gegen Ziele wie ukrainische, westeurop\u00e4ische und nordamerikanische Regierungs-, Nichtregierungs-, Bildungs- und Transportorganisationen verwendet wurde. Obwohl es sich bei GooseEgg um einen einfachen Launcher handelt, kann dieser andere Anwendungen starten, die in der Befehlszeile mit erh\u00f6hten Berechtigungen angegeben werden. Dies erm\u00f6glicht den Angreifern weitere Ziele, wie z. B. die Ausf\u00fchrung von Remote-Code, die Installation einer Hintert\u00fcr und die seitliche Bewegung durch kompromittierte Netzwerke, anzugehen.<\/p>\n

GooseEgg wird in der Regel per Batch-Skript (execute.bat <\/em>oder doit.bat<\/em>) bereitgestellt. Dieses Batch-Skript schreibt die Datei servtask.bat,<\/em> die Befehle zum Speichern\/Komprimieren von Registrierungs-Hives enth\u00e4lt und ruft dann die ausf\u00fchrbare Datei GooseEgg <\/em>auf, um sich permanent als geplante Aufgabe servtask.bat<\/em> einzurichten.<\/p>\n

Die GooseEgg-Bin\u00e4rdatei – die unter anderem die Dateinamen justice.exe<\/em> und DefragmentSrv.exe <\/em>enth\u00e4lt – f\u00fchrt <\/em>einen von vier Befehlen, die jeweils unterschiedliche Ausf\u00fchrungspfade haben, aus. Microsoft beschreibt die betreffenden Befehle und vermutet, dass dadurch die Aktivit\u00e4t der Malware verschleiert werden soll. Anschlie\u00dfend wird ein Unterverzeichnis aus einer Liste unverf\u00e4nglicher Namen (Microsoft, ESET etc.) angelegt, in das dann die folgenden Bin\u00e4rdaten aus dem Printer Driver Store kopiert werden.<\/p>\n