Le groupe de pirates APT28, aussi connu sous les noms de Fancy Bear et Forest Blizzard, exploite une vulnérabilité connue dans le spouleur d’impression de Windows. Cette faille, exploitée depuis quatre ans environ, est corrigée depuis deux ans. Suite à l’apparition d’un nouveau malware, elle revient sur le devant de la scène.
Le spouleur d’impression de Windows aura été une source régulière de vulnérabilités, toutes versions du système confondues. En 2021, on se rappelle notamment PrintNightmare, de son vrai nom CVE-2021-34527. Exploitée, elle permettait l’exécution d’un code arbitraire avec des privilèges système, le tout à distance. On pouvait difficilement faire pire. La suite n’avait pas été glorieuse, puisque le correctif initial s’était révélé incomplet. Microsoft avait même publié un patch pour Windows 7, alors que le système n’avait déjà plus de support technique.
En 2022, une autre faille apparaît. Estampillée CVE-2022-38028, elle est corrigée en octobre de la même année, suite à un signalement de la NSA. Exploitée, elle pouvait permettre une élévation des privilèges et aboutir, sur un système ayant déjà été compromis, à l’exécution d’un code arbitraire avec des droits système.
La faille, moins sévère que celle de 2021, restait dangereuse. Et son histoire n’est pas terminée : elle est toujours exploitée, signe que des structures n’ont toujours pas appliqué le correctif correspondant. D’autant que derrière l’exploitation, on trouve APT28, un groupe rattaché au renseignement militaire russe et spécialisé dans la collecte de renseignements.