مایکروسافت هشدار می دهد که هکرهای روسی Windows Print Spooler را هدف قرار می دهند
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
یادداشت های کلیدی
- هکرهای روسی از ابزار جدید (GooseEgg) برای سوء استفاده از آسیبپذیری قدیمی Windows Print Spooler استفاده میکنند.
- GooseEgg اعتبارنامه ها را می دزدد و به مهاجمان دسترسی سطح بالایی می دهد.
- سیستم خود را اصلاح کنید (به روز رسانی های اکتبر 2022 و ژوئن/ژوئیه 2021) و غیرفعال کردن Print Spooler در کنترل کننده های دامنه را در نظر بگیرید.
مایکروسافت در مورد ابزار جدیدی که توسط یک گروه هکر مرتبط با روسیه برای سوء استفاده از یک آسیب پذیری در نرم افزار Windows Print Spooler استفاده می شود، هشدار داده است. سابقه ای بین هکرهای روسی و مایکروسافت وجود داشته است این و این.
این گروه هکر، معروف به Forest Blizzard (همچنین به نامهای APT28، Sednit، Sofacy و Fancy Bear نیز شناخته میشود)، سازمانهای دولتی، انرژی، حملونقل و سازمانهای غیردولتی (NGO) را برای اهداف جمعآوری اطلاعات هدف قرار داده است. مایکروسافت معتقد است که Forest Blizzard با آژانس اطلاعاتی روسیه GRU مرتبط است.
ابزار جدید که GooseEgg نام دارد، از یک آسیبپذیری در سرویس Windows Print Spooler (CVE-2022-38028) برای به دست آوردن دسترسی ممتاز به سیستمهای در معرض خطر و سرقت اعتبار سوء استفاده میکند. این آسیب پذیری به GooseEgg اجازه می دهد تا فایل جاوا اسکریپت را تغییر داده و سپس آن را با مجوزهای بالا اجرا کند.
سرویس Windows Print Spooler به عنوان یک واسطه بین برنامه های کاربردی و چاپگر شما عمل می کند. این یک برنامه نرم افزاری است که در پس زمینه اجرا می شود و کارهای چاپ را مدیریت می کند. کارها را بین برنامه ها و چاپگرتان به خوبی اجرا می کند.
مایکروسافت توصیه می کند که سازمان ها چندین گام برای محافظت از خود بردارند،
- بهروزرسانیهای امنیتی را برای CVE-2022-38028 (11 اکتبر 2022) و آسیبپذیریهای قبلی Print Spooler (8 ژوئن و 1 ژوئیه 2021) اعمال کنید.
- سرویس Print Spooler را در کنترلرهای دامنه غیرفعال کنید (برای عملکرد لازم نیست).
- توصیه های سخت شدن اعتبار را اجرا کنید.
- از تشخیص و پاسخ نقطه پایانی (EDR) با قابلیت مسدود کردن استفاده کنید.
- حفاظت ارائه شده در ابر را برای نرم افزار آنتی ویروس فعال کنید.
- از قوانین کاهش سطح حمله Microsoft Defender XDR استفاده کنید.
آنتی ویروس Microsoft Defender GooseEgg را به عنوان شناسایی می کند HackTool:Win64/GooseEgg
. Microsoft Defender for Endpoint و Microsoft Defender XDR همچنین می توانند فعالیت های مشکوک مربوط به استقرار GooseEgg را شناسایی کنند.
با اطلاع از این تهدیدات و اجرای اقدامات امنیتی توصیه شده، سازمان ها می توانند از خود در برابر حملات Forest Blizzard و سایر عوامل مخرب محافظت کنند.
بیشتر اینجا کلیک نمایید.