ロシアの脅威グループがWindowsの印刷スプーラーの脆弱性悪用、アップデートを

画像提供：マイナビニュース

Microsoftはこのほど、「Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials｜Microsoft Security Blog」において、ロシア連邦軍参謀本部情報総局(лавное разведывательное управление)と関連があるとみられる脅威グループ「Forest Blizzard(別名：APT28、STRONTIUM)」がWindowsのプリントスプーラーサービスに存在する脆弱性を悪用していたと伝えた。脅威グループはこの脆弱性「CVE-2022-38028」を悪用する「GooseEgg」と呼ばれるツールを用いて特権を昇格させ、認証情報を窃取したと見られている。

○脆弱性「CVE-2022-38028」の概要

今回悪用が確認された脆弱性「CVE-2022-38028」は、2022年10月に情報公開されたWindowsプリントスプーラーに存在する特権昇格の脆弱性。この脆弱性はセキュリティアップデート(KB5018411)により、すでに修正されている(参考：「CVE-2022-38028 - Security Update Guide - Microsoft - Windows Print Spooler Elevation of Privilege Vulnerability」)。
○攻撃ツール「GooseEgg」の概要

攻撃ツール「GooseEgg」は脆弱性を悪用して指定されたコマンドをSYSTEMアカウント権限で実行する機能を持つ。脅威グループはレジストリ情報を窃取するバッチスクリプトを生成し、このツールから実行されるようにタスクスケジューラーを構成して永続的な攻撃を実施する。

Microsoftの調査によると、脅威グループは少なくとも2020年6月から、または早ければ2019年4月からこのツールを悪用していた可能性があるとしている。主な標的はウクライナ、西ヨーロッパ、北米地域の政府機関、非政府組織、教育、運輸業界の関連組織とみられている。
○GooseEggを用いた攻撃への対策

MicrosoftはGooseEggを使用した攻撃を回避するため、次の緩和策の実施を推奨している。

脆弱性を修正するセキュリティアップデートを適用する
ドメインコントローラーにプリントスプーラーサービスは必要ないためサービスを無効にする