Microsoft prévient que les pirates russes ciblent Windows Print Spooler

Icône de temps de lecture 2 minute. lis


Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

Notes clés

  • Les pirates russes utilisent un nouvel outil (GooseEgg) pour exploiter l'ancienne vulnérabilité de Windows Print Spooler.
  • GooseEgg vole les informations d'identification et donne un accès de haut niveau aux attaquants.
  • Corrigez votre système (mises à jour d'octobre 2022 et juin/juillet 2021) et envisagez de désactiver Print Spooler sur les contrôleurs de domaine.

Microsoft a émis un avertissement concernant un nouvel outil utilisé par un groupe de piratage lié à la Russie pour exploiter une vulnérabilité du logiciel Windows Print Spooler. Il y a eu une histoire entre les pirates russes et Microsoft avec this et de this.

Le groupe de piratage informatique, connu sous le nom de Forest Blizzard (également appelé APT28, Sednit, Sofacy et Fancy Bear), cible le gouvernement, l'énergie, les transports et les organisations non gouvernementales (ONG) à des fins de collecte de renseignements. Microsoft pense que Forest Blizzard est lié à l'agence de renseignement russe GRU.

Le nouvel outil, appelé GooseEgg, exploite une vulnérabilité du service Windows Print Spooler (CVE-2022-38028) pour obtenir un accès privilégié aux systèmes compromis et voler les informations d'identification. La vulnérabilité permet à GooseEgg de modifier un fichier JavaScript puis de l'exécuter avec des autorisations élevées.

Le service Windows Print Spooler agit comme intermédiaire entre vos applications et votre imprimante. Il s'agit d'un logiciel exécuté en arrière-plan qui gère les travaux d'impression. Il assure le bon fonctionnement entre vos programmes et votre imprimante.

Microsoft recommande aux organisations de prendre plusieurs mesures pour se protéger, 

  • Appliquez les mises à jour de sécurité pour CVE-2022-38028 (11 octobre 2022) et les vulnérabilités précédentes du spouleur d'impression (8 juin et 1er juillet 2021).
  • Pensez à désactiver le service Print Spooler sur les contrôleurs de domaine (non requis pour le fonctionnement).
  • Mettre en œuvre les recommandations de renforcement des qualifications.
  • Utilisez Endpoint Detection and Response (EDR) avec des capacités de blocage.
  • Activez la protection fournie par le cloud pour les logiciels antivirus.
  • Utilisez les règles de réduction de la surface d’attaque de Microsoft Defender XDR.

Microsoft Defender Antivirus détecte GooseEgg comme HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint et Microsoft Defender XDR peuvent également identifier les activités suspectes liées aux déploiements GooseEgg.

En restant informées de ces menaces et en mettant en œuvre les mesures de sécurité recommandées, les organisations peuvent contribuer à se protéger contre les attaques de Forest Blizzard et d'autres acteurs malveillants.

Plus ici.