Microsoft advarer om, at russiske hackere målretter mod Windows Print Spooler

Home » Nyheder

Ikon for læsetid 2 min. Læs

Kalenderikon Udgivet den

by Devesh Beri 

offentliggjort den

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

Nøgle noter

  • Russiske hackere bruger nyt værktøj (GooseEgg) til at udnytte gammel Windows Print Spooler-sårbarhed.
  • GooseEgg stjæler legitimationsoplysninger og giver adgang på højt niveau til angribere.
  • Patch dit system (opdateringer fra oktober 2022 og juni/juli 2021), og overvej at deaktivere Print Spooler på domænecontrollere.

Microsoft har udsendt en advarsel om et nyt værktøj, der bruges af en russisk-tilknyttet hackergruppe til at udnytte en sårbarhed i Windows Print Spooler-software. Der har været en historie mellem russiske hackere og Microsoft med denne , denne.

Hackergruppen, kendt som Forest Blizzard (også omtalt som APT28, Sednit, Sofacy og Fancy Bear), har været rettet mod regering, energi, transport og ikke-statslige organisationer (NGO'er) med henblik på indsamling af efterretninger. Microsoft mener, at Forest Blizzard er knyttet til Ruslands GRU-efterretningsagentur.

Det nye værktøj, kaldet GooseEgg, udnytter en sårbarhed i Windows Print Spooler-tjenesten (CVE-2022-38028) for at få privilegeret adgang til kompromitterede systemer og stjæle legitimationsoplysninger. Sårbarheden tillader GooseEgg at ændre en JavaScript-fil og derefter udføre den med høje tilladelser.

Windows Print Spooler-tjenesten fungerer som en mellemmand mellem dine programmer og din printer. Det er et softwareprogram, der kører i baggrunden, og som håndterer udskriftsjob. Det holder tingene kørende mellem dine programmer og din printer.

Microsoft anbefaler, at organisationer tager flere skridt for at beskytte sig selv, 

  • Anvend sikkerhedsopdateringer til CVE-2022-38028 (11. oktober 2022) og tidligere Print Spooler-sårbarheder (8. juni og 1. juli 2021).
  • Overvej at deaktivere Print Spooler-tjenesten på domænecontrollere (ikke påkrævet til drift).
  • Implementer anbefalinger til hærdning af legitimationsoplysninger.
  • Brug Endpoint Detection and Response (EDR) med blokeringsfunktioner.
  • Aktiver sky-leveret beskyttelse for antivirussoftware.
  • Brug Microsoft Defender XDR-regler for reduktion af angrebsoverflader.

Microsoft Defender Antivirus registrerer GooseEgg som HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint og Microsoft Defender XDR kan også identificere mistænkelig aktivitet relateret til GooseEgg-installationer.

Ved at holde sig informeret om disse trusler og implementere de anbefalede sikkerhedsforanstaltninger, kan organisationer hjælpe med at beskytte sig selv mod angreb fra Forest Blizzard og andre ondsindede aktører.

Mere link..

Devesh Beri

Devesh Beri Shield

Teknisk journalist

Det er de ting, der motiverer mig - at skabe informativt og nyttigt indhold, forfølge min passion for motorsport og musik, deltage i ekspeditioner, opretholde en sund livsstil og tilbringe tid med min yndige kat Taco.