A Microsoft arra figyelmeztet, hogy az orosz hackerek a Windows Print Spooler-t veszik célba
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Főbb megjegyzések
- Az orosz hackerek új eszközt (GooseEgg) használnak a régi Windows Print Spooler sebezhetőségének kihasználására.
- A GooseEgg hitelesítő adatokat lop, és magas szintű hozzáférést biztosít a támadóknak.
- Javítsa meg a rendszert (2022. októberi és 2021. júniusi/júliusi frissítések), és fontolja meg a Print Spooler letiltását a tartományvezérlőkön.
A Microsoft figyelmeztetést adott ki egy új eszközzel kapcsolatban, amelyet egy Oroszországhoz köthető hackercsoport használt a Windows Print Spooler szoftver biztonsági résének kihasználására. Történelem volt az orosz hackerek és a Microsoft között ezt és a ezt.
A Forest Blizzard néven ismert hackercsoport (más néven APT28, Sednit, Sofacy és Fancy Bear) kormányzati, energiaügyi, közlekedési és nem kormányzati szervezeteket (NGO-kat) vette célba hírszerzési céllal. A Microsoft úgy véli, hogy a Forest Blizzard kapcsolatban áll az orosz GRU hírszerző ügynökséggel.
Az új GooseEgg nevű eszköz a Windows Print Spooler szolgáltatás (CVE-2022-38028) biztonsági rését használja ki, hogy kiváltságos hozzáférést kapjon a feltört rendszerekhez, és ellopja a hitelesítő adatokat. A biztonsági rés lehetővé teszi a GooseEgg számára, hogy módosítson egy JavaScript-fájlt, majd magas jogosultságokkal végrehajtsa.
A Windows Print Spooler szolgáltatás közvetítőként működik az alkalmazások és a nyomtató között. Ez egy háttérben futó szoftver, amely a nyomtatási feladatokat kezeli. Gondoskodik a dolgok zökkenőmentes működéséről a programok és a nyomtató között.
A Microsoft azt javasolja a szervezeteknek, hogy tegyenek több lépést saját maguk védelmére,
- Alkalmazza a CVE-2022-38028 (11. október 2022.) és a korábbi Nyomtatási sorkezelő biztonsági rések (8. június 1. és július 2021.) biztonsági frissítéseit.
- Fontolja meg a Print Spooler szolgáltatás letiltását a tartományvezérlőkön (nem szükséges a működéshez).
- Hajtsa végre a hitelesítő adatok megerősítésére vonatkozó ajánlásokat.
- Használja a Endpoint Detection and Response (EDR) funkciót blokkoló képességekkel.
- Engedélyezze a felhőalapú védelmet a víruskereső szoftverek számára.
- Használja a Microsoft Defender XDR támadási felület csökkentésére vonatkozó szabályokat.
A Microsoft Defender Antivirus felismeri a GooseEgg-et mint HackTool:Win64/GooseEgg
. A Microsoft Defender for Endpoint és a Microsoft Defender XDR is képes azonosítani a GooseEgg-telepítésekkel kapcsolatos gyanús tevékenységeket.
Azáltal, hogy tájékozottak maradnak ezekről a fenyegetésekről, és bevezetik az ajánlott biztonsági intézkedéseket, a szervezetek megvédhetik magukat a Forest Blizzard és más rosszindulatú szereplők támadásaitól.
Több itt.