Microsoft varuje, že ruští hackeři cílí na Windows Print Spooler

Domů » Novinky

Ikona času čtení 2 min. číst

Ikona kalendáře Publikované dne

by Devesh Beri 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

Klíčové poznámky

  • Ruští hackeři používají nový nástroj (GooseEgg) ke zneužití staré zranitelnosti Windows Print Spooler.
  • GooseEgg krade přihlašovací údaje a poskytuje útočníkům přístup na vysoké úrovni.
  • Opravte svůj systém (aktualizace z října 2022 a června/července 2021) a zvažte vypnutí služby Print Spooler na řadičích domény.

Společnost Microsoft vydala varování před novým nástrojem, který používá hackerská skupina napojená na Rusko ke zneužití zranitelnosti v softwaru Windows Print Spooler. Mezi ruskými hackery a Microsoftem byla historie tento a tento.

Hackerská skupina známá jako Forest Blizzard (také označovaná jako APT28, Sednit, Sofacy a Fancy Bear) se zaměřuje na vládní, energetické, dopravní a nevládní organizace (NGO) pro účely shromažďování zpravodajských informací. Microsoft věří, že Forest Blizzard je napojen na ruskou zpravodajskou agenturu GRU.

Nový nástroj s názvem GooseEgg využívá zranitelnost ve službě Windows Print Spooler (CVE-2022-38028) k získání privilegovaného přístupu ke kompromitovaným systémům a ke krádeži přihlašovacích údajů. Tato chyba zabezpečení umožňuje GooseEgg upravit soubor JavaScript a poté jej spustit s vysokými oprávněními.

Služba Windows Print Spooler funguje jako prostředník mezi vašimi aplikacemi a vaší tiskárnou. Je to softwarový program běžící na pozadí, který spravuje tiskové úlohy. Udržuje hladký chod mezi vašimi programy a tiskárnou.

Společnost Microsoft doporučuje, aby organizace podnikly několik kroků ke své ochraně, 

  • Použijte aktualizace zabezpečení pro CVE-2022-38028 (11. října 2022) a předchozí zranitelnosti tiskového zařazování (8. června a 1. července 2021).
  • Zvažte zakázání služby Print Spooler na řadičích domény (není nutné pro provoz).
  • Implementujte doporučení pro posílení pověření.
  • Použijte Endpoint Detection and Response (EDR) s možností blokování.
  • Povolit cloudovou ochranu pro antivirový software.
  • Využijte pravidla pro redukci povrchu útoku Microsoft Defender XDR.

Microsoft Defender Antivirus detekuje GooseEgg jako HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint a Microsoft Defender XDR mohou také identifikovat podezřelou aktivitu související s nasazením GooseEgg.

Tím, že budou o těchto hrozbách informovány a zavedou se doporučená bezpečnostní opatření, mohou se organizace chránit před útoky Forest Blizzard a dalších škodlivých aktérů.

Moře zde.

Devesh Beri

Devesh Beri Štít

Technický novinář

To jsou věci, které mě motivují – vytvářet informativní a užitečný obsah, věnovat se své vášni pro motoristický sport a hudbu, účastnit se expedic, udržovat zdravý životní styl a trávit čas se svou rozkošnou kočkou Taco.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *