CISA Adds Microsoft Windows Print Spooler Flaw To Its Known Exploited Vulnerabilities Catalog
2024/04/25 SecurityAffairs — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) は、Microsoft Windows Print Spooler の権限昇格の脆弱性 CVE-2022-38028 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。ロシアに関連する APT28 (別名:Forest Blizzard/Fancybear/Strontium) について、CISA は Microsoft からの報告を受けた。具体的な内容は、GooseEgg と名付けられた未知のツールにより、Windows Print Spooler の脆弱性 CVE-2022-38028 が悪用されたというものであり、この脆弱性が KEV カタログに追加された。
2020年6月前後から、APT28 は GooseEgg により、CVE-2022-38028 を悪用していた。このツールは、JavaScript の制約ファイルを変更し、SYSTEM レベルのパーミッションで実行するものだ。ウクライナ/西ヨーロッパ/北米などの国々における、政府/非政府組織/教育機関/運輸セクターの組織などの、様々なターゲットに対する侵害後の活動で、APT28 が GooseEgg を用いることを、Microsoft は確認している。
GooseEgg はシンプルなランチャー・アプリケーションだが、それを用いる脅威アクターたちは、コマンドラインで指定された他のアプリケーションを、昇格した権限で実行できるという。悪用後のシナリオにおいて攻撃者は、このツールを使用することにより、リモート・コードの実行/バックドアのインストール/侵害されたネットワークでの横移動などの、幅広い悪意のアクティビティを実施する可能性を持てる。
この脆弱性 CVE-2022-38028 は、米国の National Security Agency により報告され、Microsoft は 2022年10月 Patch Tuesday の更新プログラムで対処している。ただし、それ以前から APT28 は GooseEgg を展開し、標的システムへ昇格アクセスし、認証情報や機密情報を盗み出していたことになる。
拘束的運用指令 (BOD:Binding Operational Directive ) 22-01 は、FCEB 機関に対して、既知の脆弱性が悪用される重大なリスクを軽減するために、KEV カタログの欠陥を悪用した攻撃からネットワークを保護し、特定された脆弱性に期日までに対処するよう求めている。
CISA は、連邦政府機関に対し、2024年5月14日までに、この脆弱性を修正するよう命じている。
専門家たちが推奨するのは、民間組織も KEV カタログを見直して、インフラの脆弱性に対処することである。
この脆弱性 CVE-2022-38028 の悪用に関しては、2024/04/22 の「ロシアン APT Forest Blizzard の最新兵器 GooseEgg:Windows の CVE-2022-38028 を狙っている」で、詳しく説明されています。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.