美国网络安全和基础设施安全局(CISA)已将CVE-2022-38028微软Windows Print Spooler特权升级漏洞添加到其已知的漏洞(KEV)目录中。
微软报告指出,与俄罗斯有联系的APT28集团(又名“森林暴雪”、“花式熊”或“锶”)利用了以前未知的工具GooseEgg来利用Windows Print Spooler漏洞CVE-2022-38028。CISA因此将该漏洞添加到了KEV目录中。
至少从2020年6月开始,甚至更早,网络间谍组织已经使用GooseEgg工具来利用CVE2022-38028漏洞。该工具修改了JavaScript约束文件,并使用SYSTEM级别的权限执行它。微软已经观察到APT28在针对各种目标活动中使用GooseEgg,包括乌克兰、西欧和北美的政府、非政府、教育和运输部门组织。
虽然GooseEgg是一个简单的启动器应用程序,但威胁行为者可以使用它来执行命令行中指定的具有提升权限的其他应用程序。在开发后场景中,攻击者可以使用该工具进行广泛的恶意活动,例如远程代码执行、安装后门以及横向移动到受感染的网络。
美国国家安全局报告了漏洞CVE-2022-38028,微软通过发布2022年10月的补丁周二安全更新来解决了这个问题。
