Microsoft warnt davor, dass russische Hacker es auf den Windows-Druckspooler abgesehen haben

Startseite » Aktuelles

Symbol für die Lesezeit 2 Minute. lesen

Kalendersymbol Veröffentlicht am

by Devesh Beri 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Wichtige Hinweise

  • Russische Hacker nutzen neues Tool (GooseEgg), um die alte Sicherheitslücke im Windows-Druckspooler auszunutzen.
  • GooseEgg stiehlt Anmeldeinformationen und gewährt Angreifern Zugriff auf hoher Ebene.
  • Patchen Sie Ihr System (Updates von Oktober 2022 und Juni/Juli 2021) und erwägen Sie, den Druckspooler auf Domänencontrollern zu deaktivieren.

Microsoft hat eine Warnung vor einem neuen Tool herausgegeben, das von einer mit Russland verbundenen Hackergruppe verwendet wird, um eine Schwachstelle in der Windows-Druckspooler-Software auszunutzen. Es gibt eine Geschichte zwischen russischen Hackern und Microsoft fehlen uns die Worte. und fehlen uns die Worte..

Die Hackergruppe namens Forest Blizzard (auch bekannt als APT28, Sednit, Sofacy und Fancy Bear) hat Regierungs-, Energie-, Transport- und Nichtregierungsorganisationen (NGOs) zum Zweck der Informationsbeschaffung ins Visier genommen. Microsoft geht davon aus, dass Forest Blizzard mit dem russischen Geheimdienst GRU in Verbindung steht.

Das neue Tool namens GooseEgg nutzt eine Schwachstelle im Windows-Druckspooler-Dienst (CVE-2022-38028), um sich privilegierten Zugriff auf gefährdete Systeme zu verschaffen und Anmeldeinformationen zu stehlen. Die Sicherheitslücke ermöglicht es GooseEgg, eine JavaScript-Datei zu ändern und sie dann mit hohen Berechtigungen auszuführen.

Der Windows-Druckspoolerdienst fungiert als Vermittler zwischen Ihren Anwendungen und Ihrem Drucker. Dabei handelt es sich um ein Softwareprogramm, das im Hintergrund läuft und Druckaufträge verwaltet. Es sorgt für einen reibungslosen Ablauf zwischen Ihren Programmen und Ihrem Drucker.

Microsoft empfiehlt Unternehmen, mehrere Schritte zu unternehmen, um sich zu schützen. 

  • Wenden Sie Sicherheitsupdates für CVE-2022-38028 (11. Oktober 2022) und frühere Druckspooler-Schwachstellen (8. Juni und 1. Juli 2021) an.
  • Erwägen Sie, den Druckspoolerdienst auf Domänencontrollern zu deaktivieren (für den Betrieb nicht erforderlich).
  • Implementieren Sie Empfehlungen zur Härtung von Anmeldeinformationen.
  • Nutzen Sie Endpoint Detection and Response (EDR) mit Blockierungsfunktionen.
  • Aktivieren Sie den cloudbasierten Schutz für Antivirensoftware.
  • Nutzen Sie die Regeln zur Reduzierung der Angriffsfläche von Microsoft Defender XDR.

Microsoft Defender Antivirus erkennt GooseEgg als HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint und Microsoft Defender XDR können auch verdächtige Aktivitäten im Zusammenhang mit GooseEgg-Bereitstellungen identifizieren.

Indem Unternehmen über diese Bedrohungen auf dem Laufenden bleiben und die empfohlenen Sicherheitsmaßnahmen umsetzen, können sie dazu beitragen, sich vor Angriffen von Forest Blizzard und anderen böswilligen Akteuren zu schützen.

Mehr hier.

Devesh Beri

Devesh Beri Schild

Technikjournalist

Das sind die Dinge, die mich motivieren – informative und hilfreiche Inhalte zu erstellen, meiner Leidenschaft für Motorsport und Musik nachzugehen, an Expeditionen teilzunehmen, einen gesunden Lebensstil zu pflegen und Zeit mit meiner süßen Katze Taco zu verbringen.