# CVE-2022-38028 > [!high] Escalada de Privilégio no Windows Print Spooler - Outubro 2022 > Vulnerabilidade de elevação de privilégios no serviço Windows Print Spooler, explorada pelo grupo russo APT28 (Fancy Bear) na ferramenta GooseEgg para comprometer redes governamentais e de defesa. ## Visão Geral A [[cve-2022-38028|CVE-2022-38028]] é uma vulnerabilidade de escalada de privilégio local no serviço **Windows Print Spooler** (`spoolsv.exe`), corrigida no Patch Tuesday de outubro de 2022. O Print Spooler é um serviço legacy presente em todas as versões do Windows, historicamente alvo de inúmeras vulnerabilidades críticas incluindo a série PrintNightmare. O que torna esta CVE especialmente significativa é a sua exploração pelo [[g0007-apt28|APT28]] (Fancy Bear/Forest Blizzard), grupo de espionagem russo vinculado ao GRU, através da ferramenta customizada **GooseEgg**. Documentada pela Microsoft Threat Intelligence em abril de 2024, a GooseEgg utiliza esta vulnerabilidade para estabelecer persistência persistente e executar código arbitrário como SYSTEM em redes de alto valor. Para o Brasil e LATAM, o fato de [[g0007-apt28|APT28]] ter histórico de ataques contra organismos governamentais, instituições de defesa e think tanks implica que qualquer organização com relevância geopolítica deve tratar esta vulnerabilidade como prioridade de remediação. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Escalada de Privilégio Local (LPE) | | Componente | `spoolsv.exe` - Windows Print Spooler | | Vetor | Local | | Autenticação necessária | Sim (usuário de domínio) | | Complexidade | Baixa | | Exploração ativa por APT | Confirmada (APT28 / GooseEgg) | ### GooseEgg - Ferramenta APT28 A ferramenta GooseEgg combina esta CVE com capacidades adicionais: - Carregamento de DLL maliciosa com privilégios SYSTEM - Persistência via tarefas agendadas - Execução de payloads adicionais com permissões elevadas - Coleta de credenciais pós-exploração ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1068-exploitation-for-privilege-escalation\|T1068]] | Exploração para escalada de privilégio | | [[t1574-012-hijack-execution-flow\|T1574.012]] | COR_PROFILER hijack pós-privilégio | | [[t1053-005-scheduled-task\|T1053.005]] | Persistência via tarefa agendada | | [[t1003-001-lsass-memory\|T1003.001]] | Dump de credenciais LSASS pós-SYSTEM | ## Detecção e Defesa **Mitigações:** - Aplicar patch MS22-OCT (KB5018410) imediatamente - [[m1051-update-software\|M1051]] - Atualização prioritária do Print Spooler - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Desabilitar Print Spooler em servidores que não necessitam imprimir - Monitorar criação de arquivos em diretório do Print Spooler por processos não-privilegiados **Detecção:** - Event ID 7045 - instalação de driver de impressora inesperado - Monitorar `spoolsv.exe` criando processos filhos com privilégio elevado > [!latam] Relevância para Brasil e LATAM > O histórico de APT28 inclui ataques a alvos governamentais e de defesa em múltiplos países. Organizações brasileiras com vínculos internacionais, como ministérios, empresas de defesa e think tanks de política externa, devem priorizar a correção desta vulnerabilidade e monitorar sinais de compromisso pela GooseEgg. ## Referências - [Microsoft Security Update - CVE-2022-38028](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-38028) - [Microsoft Threat Intelligence - GooseEgg](https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-gooseegg/) - [NVD - CVE-2022-38028](https://nvd.nist.gov/vuln/detail/CVE-2022-38028)