Microsoft waarschuwt dat Russische hackers zich richten op Windows Print Spooler

Home » Nieuws

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Uitgegeven op

by Devesh Beri 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Belangrijkste opmerkingen

  • Russische hackers gebruiken nieuwe tool (GooseEgg) om oude Windows Print Spooler-kwetsbaarheid te misbruiken.
  • GooseEgg steelt inloggegevens en geeft aanvallers toegang op hoog niveau.
  • Patch uw systeem (updates van oktober 2022 en juni/juli 2021) en overweeg om Print Spooler uit te schakelen op domeincontrollers.

Microsoft heeft gewaarschuwd voor een nieuwe tool die door een aan Rusland gelinkte hackgroep wordt gebruikt om misbruik te maken van een kwetsbaarheid in de Windows Print Spooler-software. Er is een geschiedenis geweest tussen Russische hackers en Microsoft dit en dit.

De hackgroep, bekend als Forest Blizzard (ook wel APT28, Sednit, Sofacy en Fancy Bear genoemd), richt zich op overheid, energie, transport en niet-gouvernementele organisaties (NGO's) voor het verzamelen van inlichtingen. Microsoft denkt dat Forest Blizzard banden heeft met de Russische inlichtingendienst GRU.

De nieuwe tool, GooseEgg genaamd, maakt misbruik van een kwetsbaarheid in de Windows Print Spooler-service (CVE-2022-38028) om geprivilegieerde toegang te krijgen tot aangetaste systemen en inloggegevens te stelen. Door het beveiligingslek kan GooseEgg een JavaScript-bestand wijzigen en vervolgens met hoge machtigingen uitvoeren.

De Windows Print Spooler-service fungeert als tussenpersoon tussen uw toepassingen en uw printer. Het is een softwareprogramma dat op de achtergrond draait en dat afdruktaken beheert. Het zorgt ervoor dat alles soepel verloopt tussen uw programma's en uw printer.

Microsoft raadt organisaties aan verschillende stappen te ondernemen om zichzelf te beschermen, 

  • Pas beveiligingsupdates toe voor CVE-2022-38028 (11 oktober 2022) en eerdere Print Spooler-kwetsbaarheden (8 juni en 1 juli 2021).
  • Overweeg de Print Spooler-service uit te schakelen op domeincontrollers (niet vereist voor gebruik).
  • Implementeer aanbevelingen voor het versterken van referenties.
  • Gebruik Endpoint Detection and Response (EDR) met blokkeermogelijkheden.
  • Schakel door de cloud geleverde bescherming voor antivirussoftware in.
  • Gebruik Microsoft Defender XDR-regels voor het verminderen van aanvalsoppervlakken.

Microsoft Defender Antivirus detecteert GooseEgg als HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint en Microsoft Defender XDR kunnen ook verdachte activiteiten identificeren die verband houden met GooseEgg-implementaties.

Door op de hoogte te blijven van deze bedreigingen en de aanbevolen beveiligingsmaatregelen te implementeren, kunnen organisaties zichzelf helpen beschermen tegen aanvallen van Forest Blizzard en andere kwaadwillende actoren.

Meer hier.

Devesh Beri

Devesh Beri Schild

Technisch journalist

Dit zijn de dingen die mij motiveren: informatieve en nuttige inhoud creëren, mijn passie voor autosport en muziek nastreven, deelnemen aan expedities, een gezonde levensstijl handhaven en tijd doorbrengen met mijn schattige kat Taco.