美国网络安全和基础设施安全局 CISA 美国时间周二将一个已有两年历史的 Windows Print Spooler 漏洞添加到已知可利用漏洞 (KEV) 目录中。
该漏洞为 CVE-2022-38028(CVSS 评分为 7.8),漏洞在微软 2022 年 10 月星期二的补丁更新中获得了一部分解决,利用该漏洞可在易受攻击的计算机上获得系统权限。
“Microsoft Windows Print Spooler 服务包含权限提升漏洞,攻击者可能会修改 JavaScript 约束文件从而使用系统级权限执行它。”CISA 的 KEV 目录中的条目中如此描述。
此前微软报告称,一个名为 APT28 的俄罗斯网络间谍组织(被科技巨头Forest Blizzard(森林暴风雪)追踪)一直在利用 CVE-2022-38028 对政府、非政府、教育和运输组织进行攻击,攻击的主要目的是‘提权’和凭据数据收集。
作为观察到的攻击的一部分,高级持续威胁 (APT) 攻击者一直在部署一种名为 GooseEgg (鹅蛋)的独特工具,该工具可以生成具有系统级权限的其它应用程序,从而为远程代码执行、后门部署和横向移动打开大门。
据微软称,APT28 还被发现利用其它 Print Spooler 漏洞进行 GooseEgg 部署,包括 CVE-2023-23397 、CVE-2021-34527 和 CVE-2021-1675 的 PrintNightmare 漏洞。
就 CVE-2022-38028 而言,在微软发布有关 GooseEgg 攻击的文章之前,暂未发现任何关于在野利用的报告。