Microsoft varoittaa, että venäläiset hakkerit kohdistavat Windows Print Spoolerin
2 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Keskeiset huomautukset
- Venäläiset hakkerit käyttävät uutta työkalua (GooseEgg) hyödyntääkseen vanhaa Windows Print Spooler -haavoittuvuutta.
- GooseEgg varastaa käyttäjätiedot ja antaa hyökkääjille korkean tason pääsyn.
- Korjaa järjestelmäsi (päivitykset loka-2022 ja kesä-/heinäkuussa 2021) ja harkitse tulostuksen taustatulostuksen poistamista käytöstä toimialueen ohjaimissa.
Microsoft on antanut varoituksen uudesta työkalusta, jota Venäjään linkitetty hakkerointiryhmä käyttää hyväkseen Windows Print Spooler -ohjelmiston haavoittuvuutta. Venäläisten hakkerien ja Microsoftin välillä on ollut historiaa tätä ja tätä.
Hakkerointiryhmä, joka tunnetaan nimellä Forest Blizzard (kutsutaan myös nimellä APT28, Sednit, Sofacy ja Fancy Bear), on kohdistanut kohteensa viranomaisia, energiaa, liikennettä ja kansalaisjärjestöjä (NGOs) tiedustelutietojen keräämiseksi. Microsoft uskoo Forest Blizzardin olevan yhteydessä Venäjän tiedustelupalveluun GRU.
Uusi GooseEgg-niminen työkalu hyödyntää Windows Print Spooler -palvelun (CVE-2022-38028) haavoittuvuutta saadakseen etuoikeutetun pääsyn vaarantuneisiin järjestelmiin ja varastaakseen tunnistetietoja. Haavoittuvuuden ansiosta GooseEgg voi muokata JavaScript-tiedostoa ja suorittaa sen sitten korkeilla käyttöoikeuksilla.
Windows Print Spooler -palvelu toimii välimiehenä sovellusten ja tulostimesi välillä. Se on taustalla toimiva ohjelmisto, joka hallitsee tulostustöitä. Se pitää asiat sujuvana ohjelmien ja tulostimen välillä.
Microsoft suosittelee, että organisaatiot ryhtyvät useisiin toimenpiteisiin suojellakseen itseään,
- Asenna tietoturvapäivitykset CVE-2022-38028 (11) ja aikaisempien tulostuksen taustatulostuksen haavoittuvuuksien (2022. ja 8) tietoturvapäivitykset.
- Harkitse Print Spooler -palvelun poistamista käytöstä toimialueen ohjaimissa (ei vaadi käyttöä).
- Ota käyttöön tunnistetietojen vahvistamissuositukset.
- Käytä Endpoint Detection and Response (EDR) -toimintoa esto-ominaisuuksilla.
- Ota käyttöön pilven kautta toimitettu suojaus virustorjuntaohjelmistolle.
- Käytä Microsoft Defender XDR -hyökkäyspinnan vähentämissääntöjä.
Microsoft Defender Antivirus tunnistaa GooseEggin nimellä HackTool:Win64/GooseEgg
. Microsoft Defender for Endpoint ja Microsoft Defender XDR voivat myös tunnistaa GooseEgg-käyttöönottoihin liittyvät epäilyttävät toiminnot.
Pysymällä ajan tasalla näistä uhista ja toteuttamalla suositeltuja turvatoimia organisaatiot voivat auttaa suojautumaan Forest Blizzardin ja muiden haitallisten toimijoiden hyökkäyksiltä.
Lisää: tätä.
Käyttäjäfoorumi
0-viestit