Η Microsoft προειδοποιεί ότι Ρώσοι χάκερ στοχεύουν το Windows Print Spooler
2 λεπτό. ανάγνωση
Δημοσιεύθηκε στις
Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα
Βασικές σημειώσεις
- Ρώσοι χάκερ χρησιμοποιούν το νέο εργαλείο (GooseEgg) για να εκμεταλλευτούν την παλιά ευπάθεια του Windows Print Spooler.
- Το GooseEgg κλέβει τα διαπιστευτήρια και δίνει πρόσβαση υψηλού επιπέδου στους επιτιθέμενους.
- Επιδιορθώστε το σύστημά σας (ενημερώσεις από τον Οκτώβριο 2022 και τον Ιούνιο/Ιούλιο 2021) και εξετάστε το ενδεχόμενο να απενεργοποιήσετε το Print Spooler σε ελεγκτές τομέα.
Η Microsoft εξέδωσε μια προειδοποίηση σχετικά με ένα νέο εργαλείο που χρησιμοποιείται από μια ομάδα hacking που συνδέεται με τη Ρωσία για να εκμεταλλευτεί μια ευπάθεια στο λογισμικό Windows Print Spooler. Υπήρξε ιστορία μεταξύ Ρώσων χάκερ και της Microsoft με αυτό και αυτό.
Η ομάδα hacking, γνωστή ως Forest Blizzard (αναφέρεται επίσης ως APT28, Sednit, Sofacy και Fancy Bear), στοχεύει κυβερνητικούς, ενεργειακούς, μεταφορικούς και μη κυβερνητικούς οργανισμούς (ΜΚΟ) για σκοπούς συλλογής πληροφοριών. Η Microsoft πιστεύει ότι η Forest Blizzard συνδέεται με τη ρωσική υπηρεσία πληροφοριών GRU.
Το νέο εργαλείο, που ονομάζεται GooseEgg, εκμεταλλεύεται μια ευπάθεια στην υπηρεσία Windows Print Spooler (CVE-2022-38028) για να αποκτήσει προνομιακή πρόσβαση σε παραβιασμένα συστήματα και να κλέψει διαπιστευτήρια. Η ευπάθεια επιτρέπει στο GooseEgg να τροποποιήσει ένα αρχείο JavaScript και στη συνέχεια να το εκτελέσει με υψηλά δικαιώματα.
Η υπηρεσία Windows Print Spooler λειτουργεί ως μεσάζων μεταξύ των εφαρμογών σας και του εκτυπωτή σας. Είναι ένα πρόγραμμα λογισμικού που εκτελείται στο παρασκήνιο και διαχειρίζεται εργασίες εκτύπωσης. Διατηρεί την ομαλή λειτουργία μεταξύ των προγραμμάτων σας και του εκτυπωτή σας.
Η Microsoft συνιστά στους οργανισμούς να λάβουν πολλά μέτρα για να προστατευθούν,
- Εφαρμόστε ενημερώσεις ασφαλείας για το CVE-2022-38028 (11 Οκτωβρίου 2022) και τις προηγούμενες ευπάθειες του Print Spooler (8 Ιουνίου & 1 Ιουλίου 2021).
- Εξετάστε το ενδεχόμενο να απενεργοποιήσετε την υπηρεσία Print Spooler σε ελεγκτές τομέα (δεν απαιτείται για λειτουργία).
- Εφαρμόστε τις συστάσεις σκλήρυνσης διαπιστευτηρίων.
- Χρησιμοποιήστε το Endpoint Detection and Response (EDR) με δυνατότητες αποκλεισμού.
- Ενεργοποιήστε την προστασία που παρέχεται από το cloud για λογισμικό προστασίας από ιούς.
- Χρησιμοποιήστε κανόνες μείωσης επιφάνειας επίθεσης του Microsoft Defender XDR.
Το Microsoft Defender Antivirus εντοπίζει το GooseEgg ως HackTool:Win64/GooseEgg
. Το Microsoft Defender for Endpoint και το Microsoft Defender XDR μπορούν επίσης να εντοπίσουν ύποπτη δραστηριότητα που σχετίζεται με αναπτύξεις GooseEgg.
Παραμένοντας ενημερωμένοι για αυτές τις απειλές και εφαρμόζοντας τα συνιστώμενα μέτρα ασφαλείας, οι οργανισμοί μπορούν να βοηθήσουν στην προστασία τους από επιθέσεις της Forest Blizzard και άλλων κακόβουλων παραγόντων.
Περισσότερο εδώ.
φόρουμ χρηστών
μηνύματα 0