A Microsoft arra figyelmeztet, hogy az orosz hackerek a Windows Print Spooler-t veszik célba

Kezdőlap » Hírek

Olvasási idő ikonra 2 perc olvas

Naptár ikonra Publikálva

by Devesh Beri 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

Főbb megjegyzések

  • Az orosz hackerek új eszközt (GooseEgg) használnak a régi Windows Print Spooler sebezhetőségének kihasználására.
  • A GooseEgg hitelesítő adatokat lop, és magas szintű hozzáférést biztosít a támadóknak.
  • Javítsa meg a rendszert (2022. októberi és 2021. júniusi/júliusi frissítések), és fontolja meg a Print Spooler letiltását a tartományvezérlőkön.

A Microsoft figyelmeztetést adott ki egy új eszközzel kapcsolatban, amelyet egy Oroszországhoz köthető hackercsoport használt a Windows Print Spooler szoftver biztonsági résének kihasználására. Történelem volt az orosz hackerek és a Microsoft között ezt és a ezt.

A Forest Blizzard néven ismert hackercsoport (más néven APT28, Sednit, Sofacy és Fancy Bear) kormányzati, energiaügyi, közlekedési és nem kormányzati szervezeteket (NGO-kat) vette célba hírszerzési céllal. A Microsoft úgy véli, hogy a Forest Blizzard kapcsolatban áll az orosz GRU hírszerző ügynökséggel.

Az új GooseEgg nevű eszköz a Windows Print Spooler szolgáltatás (CVE-2022-38028) biztonsági rését használja ki, hogy kiváltságos hozzáférést kapjon a feltört rendszerekhez, és ellopja a hitelesítő adatokat. A biztonsági rés lehetővé teszi a GooseEgg számára, hogy módosítson egy JavaScript-fájlt, majd magas jogosultságokkal végrehajtsa.

A Windows Print Spooler szolgáltatás közvetítőként működik az alkalmazások és a nyomtató között. Ez egy háttérben futó szoftver, amely a nyomtatási feladatokat kezeli. Gondoskodik a dolgok zökkenőmentes működéséről a programok és a nyomtató között.

A Microsoft azt javasolja a szervezeteknek, hogy tegyenek több lépést saját maguk védelmére, 

  • Alkalmazza a CVE-2022-38028 (11. október 2022.) és a korábbi Nyomtatási sorkezelő biztonsági rések (8. június 1. és július 2021.) biztonsági frissítéseit.
  • Fontolja meg a Print Spooler szolgáltatás letiltását a tartományvezérlőkön (nem szükséges a működéshez).
  • Hajtsa végre a hitelesítő adatok megerősítésére vonatkozó ajánlásokat.
  • Használja a Endpoint Detection and Response (EDR) funkciót blokkoló képességekkel.
  • Engedélyezze a felhőalapú védelmet a víruskereső szoftverek számára.
  • Használja a Microsoft Defender XDR támadási felület csökkentésére vonatkozó szabályokat.

A Microsoft Defender Antivirus felismeri a GooseEgg-et mint HackTool:Win64/GooseEgg. A Microsoft Defender for Endpoint és a Microsoft Defender XDR is képes azonosítani a GooseEgg-telepítésekkel kapcsolatos gyanús tevékenységeket.

Azáltal, hogy tájékozottak maradnak ezekről a fenyegetésekről, és bevezetik az ajánlott biztonsági intézkedéseket, a szervezetek megvédhetik magukat a Forest Blizzard és más rosszindulatú szereplők támadásaitól.

Több itt.

Devesh Beri

Devesh Beri Shield

Műszaki újságíró

Ezek azok a dolgok, amelyek motiválnak – informatív és hasznos tartalmak létrehozása, motorsport és zene iránti szenvedélyem gyakorlása, expedíciók részvétele, egészséges életmód fenntartása, és az imádnivaló Tacó macskámmal való időtöltés.