Windows Print-Spooler-Schwachstelle CVE-2022-38028 bevorzugtes Einfallstor russischer Angreifer

Windows[English]Die alte Print-Spooler-Schwachstelle CVE-2022-38028 in Windows ist wohl das bevorzugte Angriffsziel der russischen Hackergruppe Fancy Bear. Das hat die Analyse eines Angriffstools (‚GooseEgg‘ Malware) durch Microsoft ergeben. Auf aktuell gepatchten Windows-Betriebssystemen ist dieser Angriffsvektor aber nicht mehr ausnutzbar, wie Microsoft in einem Blog-Beitrag offen gelegt hat.

Analyse der GooseEgg-Malware

Das Sicherheitsteam von Microsoft Threat Intelligence hat sich über Jahre mit den Aktivitäten des in Russland ansässigen Bedrohungsakteurs Forest Blizzard (STRONTIUM) beschäftigt. Diese Hackergruppe, die im Umfeld des Nachrichtendiensts (GRU) angesiedelt sein muss, hat ein eigenes Tool mit dem Namen ‚GooseEgg‘ entwickelt, um Windows-Systeme anzugreifen und dann in Netzwerken die Berechtigungen zu erhöhen, Anmeldeinformationen abzugreifen und weiter in die IT-Infrastruktur einzudringen.

Laut dem Microsoft Blog-Beitrag Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials vom 22. April 2024 verwendet die Gruppe Forest Blizzard seit mindestens Juni 2020 (möglicherweise bereits seit April 2019) das Tool GooseEgg für seine Angriffe. Das Tool greift über eine JavaScript-Einschränkungsdatei die Sicherheitslücke CVE-2022-38028 im Windows Print Spooler-Dienst an, indem es diese JavaScript-Einschränkungsdatei ändert und dann mit Berechtigungen auf SYSTEM-Ebene ausführt.

Microsoft Aktivitäten von Forest Blizzard beobachten, bei denen GooseEgg im Rahmen von Aktivitäten nach der Kompromittierung gegen Ziele wie ukrainische, westeuropäische und nordamerikanische Regierungs-, Nichtregierungs-, Bildungs- und Transportorganisationen verwendet wurde. Obwohl es sich bei GooseEgg um einen einfachen Launcher handelt, kann dieser andere Anwendungen starten, die in der Befehlszeile mit erhöhten Berechtigungen angegeben werden. Dies ermöglicht den Angreifern weitere Ziele, wie z. B. die Ausführung von Remote-Code, die Installation einer Hintertür und die seitliche Bewegung durch kompromittierte Netzwerke, anzugehen.

GooseEgg wird in der Regel per Batch-Skript (execute.bat oder doit.bat) bereitgestellt. Dieses Batch-Skript schreibt die Datei servtask.bat, die Befehle zum Speichern/Komprimieren von Registrierungs-Hives enthält und ruft dann die ausführbare Datei GooseEgg auf, um sich permanent als geplante Aufgabe servtask.bat einzurichten.

Die GooseEgg-Binärdatei – die unter anderem die Dateinamen justice.exe und DefragmentSrv.exe enthält – führt einen von vier Befehlen, die jeweils unterschiedliche Ausführungspfade haben, aus. Microsoft beschreibt die betreffenden Befehle und vermutet, dass dadurch die Aktivität der Malware verschleiert werden soll. Anschließend wird ein Unterverzeichnis aus einer Liste unverfänglicher Namen (Microsoft, ESET etc.) angelegt, in das dann die folgenden Binärdaten aus dem Printer Driver Store kopiert werden.

  • C:\Windows\System32\DriverStore\FileRepository\pnms003.inf_*
  • C:\Windows\System32\DriverStore\FileRepository\pnms009.inf_*

Als Nächstes werden Registrierungsschlüssel erstellt, die effektiv einen benutzerdefinierten Protokoll-Handler erzeugen und eine neue CLSID registrieren, die als COM-Server für dieses „bösartige“ Protokoll dient. Der Exploit ersetzt die symbolische Verknüpfung des Laufwerks C: im Objektmanager und verweist auf das neu erstellte Verzeichnis. Wenn der PrintSpooler versucht,

C:\Windows\System32\DriverStore\FileRepository\pnms009.inf_amd64_a7412a554c9bc1fd\MPDW-Constraints.js

zu laden, wird er stattdessen auf das vom Akteur kontrollierte Verzeichnis umgeleitet, das die kopierten Treiberpakete enthält. Über weitere Schritte, die von Microsoft beschrieben werden, versuchen die Angreifer erhöhte Systemberechtigungen zu erlangen, um sich im System auszubreiten.

Schutz vor CVE-2022-38028

Microsoft hat am 11. Oktober 2022 ein Sicherheitsupdate für die von GooseEgg ausgenutzte Print Spooler-Schwachstelle und am 8. Juni 2021 und 1. Juli 2021 Updates für die PrintNightmare-Schwachstellen veröffentlicht. Wer die Patches installiert hat, ist nicht mehr angreifbar – fehlen die Patches, sollten die Administratoren diese schnellstmöglich nachholen.

Da der Print Spooler-Dienst für den Betrieb von Domänencontrollern nicht erforderlich ist, empfiehlt Microsoft außerdem, den Dienst auf Domänencontrollern zu deaktivieren. Andernfalls können Benutzer verfügbare Windows-Sicherheitsupdates für Druckspooler-Schwachstellen auf Windows-Domänencontrollern vor den Mitgliedsservern und Workstations installieren. Um Domänencontroller zu identifizieren, auf denen der Druckspooler-Dienst aktiviert ist, verfügt Microsoft Defender for Identity über eine integrierte Sicherheitsbewertung, die die Verfügbarkeit von Druckspooler-Diensten auf Domänencontrollern verfolgt. Weitere Details sind dem verlinkten Microsoft-Beitrag zu entnehmen.

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Windows Print-Spooler-Schwachstelle CVE-2022-38028 bevorzugtes Einfallstor russischer Angreifer

  1. R.S. sagt:

    Naja, wer den Patch von 2022 bis heute nicht eingespielt hat, hat noch ganz andere Probleme als die russischen Hacker.
    Und nicht nur auf Domänencontrollern gehört der Druckdienst deaktiviert, sondern auf allen Servern außer auf Druckservern.

    • Akimu sagt:

      Leider kann nicht überall der Printspooler einfach so deaktiviert werden. Es gibt Anwendungen auf Servern, die den Printspooler benötigen.
      Wir haben bei uns auf allen Servern den Printspooler per Richtlinie deaktiviert und auf denen, die ihn benötigen, ist er per Richtlinie aktiviert.

      Es gibt ja auch noch diverse andere Services auf Servern, die nur in seltenen Fällen Anwendung finden. Die kann man ebenfalls deaktivieren. Microsoft bietet da auch für die jeweiligen Betriebssysteme eine Übersicht, nach der man entscheiden kann, ob ein Service im eigenen Umfeld benötigt wird, oder nicht.

  2. TanzdenSalsa sagt:

    Was man alles deaktivieren muss käk. Auf einem echten Linux server ist so ein Unfug gar nicht erst aktiv. Aber ActiveDirectory ist sowieso ein totes Pferd:

    [https://www.theregister.com/2024/04/21/microsoft_national_security_risk/]

    • TBR sagt:

      Die Alternative ist?

    • js sagt:

      Ein „echter Linux server“, soso.
      Dein Link hat mit Active Directory wenig zu tun, lies das ruhig mal durch was dort steht.
      The Register ist ne tolle Seite mit dem richtigen Kompass.
      Das Ganze kann sich eigentlich nur auf das cloudbasierte Dienstekonstrukt beziehen, in Kombination mit den Marketing- und Datenabfluss-Marotten, die auf aktuellen Windows Clients verteilt werden.

    • Robert sagt:

      „Auf einem echten Linux server“
      was ist ein „echter“ Linux Server? Was für „echte Männer“? ;)

      Gibt es auch „falsche“ Linux Server?

    • R.S. sagt:

      Aber es ist bei Linux jede Menge Zeugs im Kernel, das man u.U. gar nicht braucht.
      Man müsste dann den Kernel neu kompilieren ohne das Zeugs, das man nicht braucht.

      • bytemaster sagt:

        Danke für die Nebelkerze…

        Solange es nicht wild alle möglichen Dienste anbietet und Ports öffnet, ist das „Zeugs“ dann doch ziemlich egal.

        • R.S. sagt:

          Naja, das ist das bei heutigen Betriebssystemen übliche: Ich packe alles Zeugs mit ins Betriebssystem.

          Leider gibt es heute keine Betriebssysteme mehr, die sich auf den Kern eines Betriebssystems konzentrieren.
          Überall ist Bloatware mit dabei, auch bei Linux.

          • bytemaster sagt:

            [ ] Du weißt, was Bloatware ist.

            [X] der Unterscheid, ob alles von Haus aus offen oder zu ist, ist dir in der Nebelkerzenrhetorik völlig egal

            • R.S. sagt:

              Nö. aber auch bei Linux ist nicht per Default alles zu, sondern sehr viel offen, was man nachträglich schließen muß, wenn man es nicht braucht.

              Bei jedem Betriebssystem ist es so, das man da nach der Installation immer nachkonfigurieren muß.
              Nur tun das die meisten Anwender nicht.

              • bytemaster sagt:

                Was ist denn per default „sehr viel“ offen?

                [X] Du wirfst munter Kernel, System und Distribution durcheinander

                • 1ST1 sagt:

                  Und was fängst du alleine mit einem Linux-Kernel an, ohne eine Shell, ohne Treiber für Massenspeicher, Netzwerkkarte, Tastatur, Textausgabe/Konsole/… ???

                  Sobald das schon wieder in „Linux“ hinein interpretierst, ist das schon wieder eine Distribution (z.B. Debian, Ubuntu, …) und schon ist das Ding wieder löchrig wie ein Käse, weil Module, Prozesse, usw. laufen, die nicht jeder Benutzer bzw. jede Anwendung braucht.

                • bytemaster sagt:

                  Treibt der Neid und Hass wieder mal üble Blüten, 1ST1?

    • Gigabernie sagt:

      Kein Kommentar.

    • 1ST1 sagt:

      Der Artikel

      https://www.theregister.com/2024/04/21/microsoft_national_security_risk

      bezieht sich aber aufgrund der jüngsten Vorfälle aber eher nicht auf Active Directory sondern auf die Hacks in Azure. Das Eine hat nicht zwangsweise mit dem anderen zu tun. Aber ja, auch ein klassisches AD muss man gut konzipieren und härten. Ganz genauso wie ein klassisches Standardlinux frisch installiert auch nicht wirklich gehärtet ist…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert