Microsoft memperingatkan bahwa peretas Rusia menargetkan Windows Print Spooler

Beranda » Berita

Ikon waktu membaca 2 menit Baca

Ikon kalender Ditampilkan di

by Devesh Beri 

Diterbitkan di

Bagikan artikel ini

Pembaca membantu dukungan MSpoweruser. Kami mungkin mendapat komisi jika Anda membeli melalui tautan kami. Ikon Keterangan Alat

Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut

Catatan kunci

  • Peretas Rusia menggunakan alat baru (GooseEgg) untuk mengeksploitasi kerentanan Windows Print Spooler yang lama.
  • GooseEgg mencuri kredensial dan memberikan akses tingkat tinggi kepada penyerang.
  • Tambal sistem Anda (pembaruan mulai Oktober 2022 & Juni/Juli 2021) dan pertimbangkan untuk menonaktifkan Print Spooler pada pengontrol domain.

Microsoft telah mengeluarkan peringatan tentang alat baru yang digunakan oleh kelompok peretas yang terkait dengan Rusia untuk mengeksploitasi kerentanan dalam perangkat lunak Windows Print Spooler. Ada sejarah antara peretas Rusia dan Microsoft ini dan ini.

Kelompok peretas, yang dikenal sebagai Forest Blizzard (juga disebut sebagai APT28, Sednit, Sofacy, dan Fancy Bear), telah menargetkan pemerintah, energi, transportasi, dan organisasi non-pemerintah (LSM) untuk tujuan pengumpulan intelijen. Microsoft yakin Forest Blizzard terkait dengan badan intelijen GRU Rusia.

Alat baru, yang disebut GooseEgg, mengeksploitasi kerentanan dalam layanan Windows Print Spooler (CVE-2022-38028) untuk mendapatkan akses istimewa ke sistem yang disusupi dan mencuri kredensial. Kerentanan ini memungkinkan GooseEgg untuk memodifikasi file JavaScript dan kemudian mengeksekusinya dengan izin tinggi.

Layanan Windows Print Spooler bertindak sebagai perantara antara aplikasi dan printer Anda. Ini adalah program perangkat lunak yang berjalan di latar belakang yang mengelola pekerjaan pencetakan. Itu membuat segala sesuatunya berjalan lancar antara program dan printer Anda.

Microsoft menyarankan agar organisasi mengambil beberapa langkah untuk melindungi diri mereka sendiri, 

  • Terapkan pembaruan keamanan untuk CVE-2022-38028 (11 Oktober 2022) dan kerentanan Print Spooler sebelumnya (8 Juni & 1 Juli 2021).
  • Pertimbangkan untuk menonaktifkan layanan Print Spooler pada pengontrol domain (tidak diperlukan untuk pengoperasian).
  • Menerapkan rekomendasi penguatan kredensial.
  • Gunakan Deteksi dan Respons Titik Akhir (EDR) dengan kemampuan pemblokiran.
  • Aktifkan perlindungan berbasis cloud untuk perangkat lunak antivirus.
  • Memanfaatkan aturan pengurangan permukaan serangan Microsoft Defender XDR.

Antivirus Pertahanan Microsoft mendeteksi GooseEgg sebagai HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint dan Microsoft Defender XDR juga dapat mengidentifikasi aktivitas mencurigakan terkait penerapan GooseEgg.

Dengan tetap mendapatkan informasi tentang ancaman ini dan menerapkan langkah-langkah keamanan yang disarankan, organisasi dapat membantu melindungi diri mereka dari serangan Forest Blizzard dan pelaku jahat lainnya.

More di sini.

Devesh Beri

Devesh Beri Melindungi

Jurnalis Teknologi

Inilah hal-hal yang memotivasi saya - membuat konten yang informatif dan bermanfaat, mengejar minat saya terhadap olahraga motor dan musik, terlibat dalam ekspedisi, menjaga gaya hidup sehat, dan menghabiskan waktu bersama kucing kesayangan saya, Taco.