Microsoft advierte que los piratas informáticos rusos apuntan a Windows Print Spooler

Inicio » Noticias

Icono de tiempo de lectura 2 minuto. leer

Icono de calendario Publicado el

by Devesh Beri 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

Notas clave

  • Los piratas informáticos rusos utilizan una nueva herramienta (GooseEgg) para explotar la antigua vulnerabilidad de Windows Print Spooler.
  • GooseEgg roba credenciales y otorga acceso de alto nivel a los atacantes.
  • Parche su sistema (actualizaciones de octubre de 2022 y junio/julio de 2021) y considere desactivar Print Spooler en los controladores de dominio.

Microsoft ha emitido una advertencia sobre una nueva herramienta utilizada por un grupo de hackers vinculado a Rusia para explotar una vulnerabilidad en el software Windows Print Spooler. Ha habido una historia entre los hackers rusos y Microsoft con así y así.

El grupo de hackers, conocido como Forest Blizzard (también conocido como APT28, Sednit, Sofacy y Fancy Bear), ha estado apuntando a organizaciones gubernamentales, energéticas, de transporte y no gubernamentales (ONG) con fines de recopilación de inteligencia. Microsoft cree que Forest Blizzard está vinculado a la agencia de inteligencia rusa GRU.

La nueva herramienta, llamada GooseEgg, explota una vulnerabilidad en el servicio Print Spooler de Windows (CVE-2022-38028) para obtener acceso privilegiado a sistemas comprometidos y robar credenciales. La vulnerabilidad permite a GooseEgg modificar un archivo JavaScript y luego ejecutarlo con permisos elevados.

El servicio Windows Print Spooler actúa como intermediario entre sus aplicaciones y su impresora. Es un programa de software que se ejecuta en segundo plano y administra los trabajos de impresión. Mantiene todo funcionando sin problemas entre sus programas y su impresora.

Microsoft recomienda que las organizaciones tomen varias medidas para protegerse, 

  • Aplique actualizaciones de seguridad para CVE-2022-38028 (11 de octubre de 2022) y vulnerabilidades anteriores de Print Spooler (8 de junio y 1 de julio de 2021).
  • Considere deshabilitar el servicio Print Spooler en los controladores de dominio (no es necesario para su funcionamiento).
  • Implementar recomendaciones de refuerzo de credenciales.
  • Utilice Endpoint Detección y Respuesta (EDR) con capacidades de bloqueo.
  • Habilite la protección proporcionada en la nube para el software antivirus.
  • Utilice las reglas de reducción de la superficie de ataque de Microsoft Defender XDR.

Microsoft Defender Antivirus detecta GooseEgg como HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint y Microsoft Defender XDR también pueden identificar actividades sospechosas relacionadas con las implementaciones de GooseEgg.

Al mantenerse informadas sobre estas amenazas e implementar las medidas de seguridad recomendadas, las organizaciones pueden ayudar a protegerse de los ataques de Forest Blizzard y otros actores maliciosos.

Más esta página.

Devesh Beri

Devesh Beri Proteccion

Periodista de tecnología

Estas son las cosas que me motivan: crear contenido informativo y útil, perseguir mi pasión por los deportes de motor y la música, participar en expediciones, mantener un estilo de vida saludable y pasar tiempo con mi adorable gato Taco.