MicrosoftはロシアのハッカーがWindows Print Spoolerを標的にしていると警告

読書時間アイコン 2分。 読んだ


読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

キーノート

  • ロシアのハッカーは、新しいツール (GooseEgg) を使用して、Windows 印刷スプーラーの古い脆弱性を悪用します。
  • GooseEgg は認証情報を盗み、攻撃者に高レベルのアクセスを与えます。
  • システムにパッチを適用し (2022 年 2021 月および XNUMX 年 XNUMX 月/XNUMX 月からの更新)、ドメイン コントローラーで印刷スプーラーを無効にすることを検討してください。

Microsoftは、ロシア関連のハッカーグループがWindows Print Spoolerソフトウェアの脆弱性を悪用するために使用した新しいツールについて警告を発した。ロシアのハッカーとマイクロソフトの間には、次のような歴史がありました。 この および この.

Forest Blizzard (APT28、Sednit、Sofacy、Fancy Bear とも呼ばれる) として知られるこのハッカー グループは、情報収集を目的として政府、エネルギー、運輸、非政府組織 (NGO) をターゲットにしています。 Microsoftは、Forest BlizzardがロシアのGRU諜報機関と関連していると考えている。

GooseEgg と呼ばれるこの新しいツールは、Windows 印刷スプーラー サービスの脆弱性 (CVE-2022-38028) を悪用して、侵害されたシステムへの特権アクセスを取得し、資格情報を盗みます。この脆弱性により、GooseEgg は JavaScript ファイルを変更し、高い権限でそれを実行することができます。

Windows 印刷スプーラー サービスは、アプリケーションとプリンターの間の仲介者として機能します。これは、印刷ジョブを管理するバックグラウンドで実行されるソフトウェア プログラムです。これにより、プログラムとプリンターの間でのスムーズな動作が維持されます。

Microsoft では、組織が自らを守るためにいくつかの措置を講じることを推奨しています。 

  • CVE-2022-38028 (11 年 2022 月 8 日) および以前の印刷スプーラーの脆弱性 (1 年 2021 月 XNUMX 日と XNUMX 月 XNUMX 日) に対するセキュリティ更新プログラムを適用します。
  • ドメイン コントローラーで印刷スプーラー サービスを無効にすることを検討してください (操作には必要ありません)。
  • 認証情報の強化に関する推奨事項を実装します。
  • ブロック機能を備えた Endpoint Detection and Response (EDR) を使用します。
  • ウイルス対策ソフトウェアのクラウド配信による保護を有効にします。
  • Microsoft Defender XDR の攻撃対象領域削減ルールを利用します。

Microsoft Defender ウイルス対策は GooseEgg を次のように検出します HackTool:Win64/GooseEgg。 Microsoft Defender for Endpoint および Microsoft Defender XDR は、GooseEgg の展開に関連する不審なアクティビティを識別することもできます。

これらの脅威に関する情報を常に入手し、推奨されるセキュリティ対策を実装することで、組織は Forest Blizzard やその他の悪意のある攻撃者による攻撃から身を守ることができます。

その他 こちら.

コメントを残す

あなたのメールアドレスは公開されません。 必須フィールドは、マークされています *