盖蒂图片社
当微软于 2022 年 10 月修补该漏洞时(至少在该漏洞受到俄罗斯黑客攻击两年后),该公司没有提及该漏洞正在被积极利用。 截至发布时,该公司的 咨询 仍然没有提到野外瞄准。 Windows 用户经常根据漏洞是否有可能在实际攻击中被利用来确定补丁安装的优先级。
随着漏洞被跟踪,利用 CVE-2022-38028 与单独的漏洞结合使用时,攻击者可以获取系统权限,这是 Windows 中可用的最高权限。 该缺陷的严重性等级为 7.8(满分 10),利用该缺陷所需的现有权限较低且复杂性也较低。 它驻留在 Windows 打印后台处理程序中,这是一个打印机管理组件,具有 隐藏了之前的关键零日漏洞。 微软当时表示,它是从美国国家安全局获悉该漏洞的。
周一,微软透露,一个名为 Forest Blizzard 的黑客组织至少自 2020 年 6 月以来一直在利用 CVE-2022-38028,甚至可能早在 2019 年 4 月。该威胁组织也以 APT28、 Sednit、Sofacy、GRU Unit 26165 和 Fancy Bear — 已通过 美国和英国政府 情报总局 26165 部队,俄罗斯军事情报部门,更广为人知的名字是格鲁乌 (GRU)。 森林暴雪专注于通过黑客攻击主要位于美国、欧洲和中东的各种组织来收集情报。
“虽然 GooseEgg 是一个简单的启动器应用程序,但它能够以提升的权限生成在命令行中指定的其他应用程序,从而允许威胁行为者支持任何后续目标,例如远程代码执行、安装后门以及通过受感染的网络横向移动, ”微软官员写道。
GooseEgg 通常使用简单的安装 批处理脚本,该漏洞是在成功利用 CVE-2022-38028 或其他漏洞(例如 CVE-2023-23397)后执行的,周一的通报称该漏洞也已被 Forest Blizzard 利用。 该脚本负责安装 GooseEgg 二进制文件(通常名为justice.exe 或 DefragmentSrv.exe),然后确保它们在每次重新启动受感染的计算机时运行。
2024-04-22 20:36:56
1713866224
