Microsoft avverte che gli hacker russi prendono di mira Windows Print Spooler

Casa » Notizie

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del

by Devesh Beri 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Note chiave

  • Gli hacker russi utilizzano un nuovo strumento (GooseEgg) per sfruttare la vecchia vulnerabilità dello spooler di stampa di Windows.
  • GooseEgg ruba le credenziali e fornisce accesso di alto livello agli aggressori.
  • Applica una patch al tuo sistema (aggiornamenti da ottobre 2022 e giugno/luglio 2021) e valuta la possibilità di disabilitare lo spooler di stampa sui controller di dominio.

Microsoft ha emesso un avviso su un nuovo strumento utilizzato da un gruppo di hacker legato alla Russia per sfruttare una vulnerabilità nel software Windows Print Spooler. C'è stata una storia tra gli hacker russi e Microsoft questo ed questo.

Il gruppo di hacker, noto come Forest Blizzard (noto anche come APT28, Sednit, Sofacy e Fancy Bear), ha preso di mira il governo, l'energia, i trasporti e le organizzazioni non governative (ONG) per scopi di raccolta di informazioni. Microsoft ritiene che Forest Blizzard sia collegato all'agenzia di intelligence russa GRU.

Il nuovo strumento, chiamato GooseEgg, sfrutta una vulnerabilità nel servizio Windows Print Spooler (CVE-2022-38028) per ottenere un accesso privilegiato ai sistemi compromessi e rubare le credenziali. La vulnerabilità consente a GooseEgg di modificare un file JavaScript e quindi di eseguirlo con autorizzazioni elevate.

Il servizio Spooler di stampa di Windows funge da intermediario tra le tue applicazioni e la tua stampante. È un programma software in esecuzione in background che gestisce i lavori di stampa. Mantiene le cose senza intoppi tra i tuoi programmi e la tua stampante.

Microsoft consiglia alle organizzazioni di adottare diverse misure per proteggersi, 

  • Applicare gli aggiornamenti di sicurezza per CVE-2022-38028 (11 ottobre 2022) e le precedenti vulnerabilità dello spooler di stampa (8 giugno e 1 luglio 2021).
  • Valuta la possibilità di disabilitare il servizio spooler di stampa sui controller di dominio (non necessario per il funzionamento).
  • Implementare le raccomandazioni per il rafforzamento delle credenziali.
  • Utilizza Endpoint Detection and Response (EDR) con funzionalità di blocco.
  • Abilita la protezione fornita dal cloud per il software antivirus.
  • Utilizza le regole di riduzione della superficie di attacco di Microsoft Defender XDR.

Microsoft Defender Antivirus rileva GooseEgg come HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint e Microsoft Defender XDR possono anche identificare attività sospette correlate alle distribuzioni di GooseEgg.

Rimanendo informati su queste minacce e implementando le misure di sicurezza consigliate, le organizzazioni possono proteggersi dagli attacchi di Forest Blizzard e altri attori malintenzionati.

Più qui.

Devesh Beri

Devesh Beri Scudo

Giornalista tecnico

Queste sono le cose che mi motivano: creare contenuti informativi e utili, perseguire la mia passione per gli sport motoristici e la musica, partecipare a spedizioni, mantenere uno stile di vita sano e trascorrere del tempo con il mio adorabile gatto Taco.