مایکروسافت هشدار می دهد که هکرهای روسی Windows Print Spooler را هدف قرار می دهند

صفحه اصلی » رسانه

نماد زمان خواندن 2 دقیقه خواندن

نماد تقویم منتشر شده در

by دوش بری 

منتشر شده در

این مقاله را به اشتراک بگذارید

خوانندگان به پشتیبانی از MSpoweruser کمک می کنند. در صورت خرید از طریق پیوندهای ما ممکن است کمیسیون دریافت کنیم. نماد راهنمای ابزار

صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب

یادداشت های کلیدی

  • هکرهای روسی از ابزار جدید (GooseEgg) برای سوء استفاده از آسیب‌پذیری قدیمی Windows Print Spooler استفاده می‌کنند.
  • GooseEgg اعتبارنامه ها را می دزدد و به مهاجمان دسترسی سطح بالایی می دهد.
  • سیستم خود را اصلاح کنید (به روز رسانی های اکتبر 2022 و ژوئن/ژوئیه 2021) و غیرفعال کردن Print Spooler در کنترل کننده های دامنه را در نظر بگیرید.

مایکروسافت در مورد ابزار جدیدی که توسط یک گروه هکر مرتبط با روسیه برای سوء استفاده از یک آسیب پذیری در نرم افزار Windows Print Spooler استفاده می شود، هشدار داده است. سابقه ای بین هکرهای روسی و مایکروسافت وجود داشته است این و این.

این گروه هکر، معروف به Forest Blizzard (همچنین به نام‌های APT28، Sednit، Sofacy و Fancy Bear نیز شناخته می‌شود)، سازمان‌های دولتی، انرژی، حمل‌ونقل و سازمان‌های غیردولتی (NGO) را برای اهداف جمع‌آوری اطلاعات هدف قرار داده است. مایکروسافت معتقد است که Forest Blizzard با آژانس اطلاعاتی روسیه GRU مرتبط است.

ابزار جدید که GooseEgg نام دارد، از یک آسیب‌پذیری در سرویس Windows Print Spooler (CVE-2022-38028) برای به دست آوردن دسترسی ممتاز به سیستم‌های در معرض خطر و سرقت اعتبار سوء استفاده می‌کند. این آسیب پذیری به GooseEgg اجازه می دهد تا فایل جاوا اسکریپت را تغییر داده و سپس آن را با مجوزهای بالا اجرا کند.

سرویس Windows Print Spooler به عنوان یک واسطه بین برنامه های کاربردی و چاپگر شما عمل می کند. این یک برنامه نرم افزاری است که در پس زمینه اجرا می شود و کارهای چاپ را مدیریت می کند. کارها را بین برنامه ها و چاپگرتان به خوبی اجرا می کند.

مایکروسافت توصیه می کند که سازمان ها چندین گام برای محافظت از خود بردارند، 

  • به‌روزرسانی‌های امنیتی را برای CVE-2022-38028 (11 اکتبر 2022) و آسیب‌پذیری‌های قبلی Print Spooler (8 ژوئن و 1 ژوئیه 2021) اعمال کنید.
  • سرویس Print Spooler را در کنترلرهای دامنه غیرفعال کنید (برای عملکرد لازم نیست).
  • توصیه های سخت شدن اعتبار را اجرا کنید.
  • از تشخیص و پاسخ نقطه پایانی (EDR) با قابلیت مسدود کردن استفاده کنید.
  • حفاظت ارائه شده در ابر را برای نرم افزار آنتی ویروس فعال کنید.
  • از قوانین کاهش سطح حمله Microsoft Defender XDR استفاده کنید.

آنتی ویروس Microsoft Defender GooseEgg را به عنوان شناسایی می کند HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint و Microsoft Defender XDR همچنین می توانند فعالیت های مشکوک مربوط به استقرار GooseEgg را شناسایی کنند.

با اطلاع از این تهدیدات و اجرای اقدامات امنیتی توصیه شده، سازمان ها می توانند از خود در برابر حملات Forest Blizzard و سایر عوامل مخرب محافظت کنند.

بیشتر اینجا کلیک نمایید.

دوش بری

دوش بری سپر

روزنامه نگار فناوری

اینها چیزهایی هستند که به من انگیزه می دهند - ایجاد محتوای آموزنده و مفید، دنبال کردن علاقه ام به ورزش های موتوری و موسیقی، شرکت در سفرهای اعزامی، حفظ یک سبک زندگی سالم، و گذراندن وقت با گربه دوست داشتنی ام تاکو.