Microsoft varuje, že ruští hackeři cílí na Windows Print Spooler
2 min. číst
Publikované dne
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Klíčové poznámky
- Ruští hackeři používají nový nástroj (GooseEgg) ke zneužití staré zranitelnosti Windows Print Spooler.
- GooseEgg krade přihlašovací údaje a poskytuje útočníkům přístup na vysoké úrovni.
- Opravte svůj systém (aktualizace z října 2022 a června/července 2021) a zvažte vypnutí služby Print Spooler na řadičích domény.
Společnost Microsoft vydala varování před novým nástrojem, který používá hackerská skupina napojená na Rusko ke zneužití zranitelnosti v softwaru Windows Print Spooler. Mezi ruskými hackery a Microsoftem byla historie tento a tento.
Hackerská skupina známá jako Forest Blizzard (také označovaná jako APT28, Sednit, Sofacy a Fancy Bear) se zaměřuje na vládní, energetické, dopravní a nevládní organizace (NGO) pro účely shromažďování zpravodajských informací. Microsoft věří, že Forest Blizzard je napojen na ruskou zpravodajskou agenturu GRU.
Nový nástroj s názvem GooseEgg využívá zranitelnost ve službě Windows Print Spooler (CVE-2022-38028) k získání privilegovaného přístupu ke kompromitovaným systémům a ke krádeži přihlašovacích údajů. Tato chyba zabezpečení umožňuje GooseEgg upravit soubor JavaScript a poté jej spustit s vysokými oprávněními.
Služba Windows Print Spooler funguje jako prostředník mezi vašimi aplikacemi a vaší tiskárnou. Je to softwarový program běžící na pozadí, který spravuje tiskové úlohy. Udržuje hladký chod mezi vašimi programy a tiskárnou.
Společnost Microsoft doporučuje, aby organizace podnikly několik kroků ke své ochraně,
- Použijte aktualizace zabezpečení pro CVE-2022-38028 (11. října 2022) a předchozí zranitelnosti tiskového zařazování (8. června a 1. července 2021).
- Zvažte zakázání služby Print Spooler na řadičích domény (není nutné pro provoz).
- Implementujte doporučení pro posílení pověření.
- Použijte Endpoint Detection and Response (EDR) s možností blokování.
- Povolit cloudovou ochranu pro antivirový software.
- Využijte pravidla pro redukci povrchu útoku Microsoft Defender XDR.
Microsoft Defender Antivirus detekuje GooseEgg jako HackTool:Win64/GooseEgg
. Microsoft Defender for Endpoint a Microsoft Defender XDR mohou také identifikovat podezřelou aktivitu související s nasazením GooseEgg.
Tím, že budou o těchto hrozbách informovány a zavedou se doporučená bezpečnostní opatření, mohou se organizace chránit před útoky Forest Blizzard a dalších škodlivých aktérů.
Moře zde.