Microsoft advarer om at russiske hackere retter seg mot Windows Print Spooler

Hjemprodukt » Nyheter

Ikon for lesetid 2 min. lese

Kalenderikon Publisert på

by Devesh Beri 

publisert på

Del denne artikkelen

Lesere hjelper til med å støtte MSpoweruser. Vi kan få provisjon hvis du kjøper gjennom lenkene våre. Verktøytipsikon

Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer

Viktige merknader

  • Russiske hackere bruker nytt verktøy (GooseEgg) for å utnytte gammel Windows Print Spooler-sårbarhet.
  • GooseEgg stjeler legitimasjon og gir tilgang på høyt nivå til angripere.
  • Oppdater systemet ditt (oppdateringer fra oktober 2022 og juni/juli 2021) og vurder å deaktivere Print Spooler på domenekontrollere.

Microsoft har utstedt en advarsel om et nytt verktøy som brukes av en russisk-tilknyttet hackergruppe for å utnytte en sårbarhet i Windows Print Spooler-programvare. Det har vært en historie mellom russiske hackere og Microsoft med denne og denne.

Hackergruppen, kjent som Forest Blizzard (også referert til som APT28, Sednit, Sofacy og Fancy Bear), har vært rettet mot myndigheter, energi, transport og ikke-statlige organisasjoner (NGOer) for etterretningsinnhentingsformål. Microsoft mener Forest Blizzard er knyttet til Russlands GRU-etterretningsbyrå.

Det nye verktøyet, kalt GooseEgg, utnytter en sårbarhet i Windows Print Spooler-tjenesten (CVE-2022-38028) for å få privilegert tilgang til kompromitterte systemer og stjele legitimasjon. Sårbarheten lar GooseEgg endre en JavaScript-fil og deretter kjøre den med høye tillatelser.

Windows Print Spooler-tjenesten fungerer som en mellommann mellom programmene og skriveren. Det er et program som kjører i bakgrunnen som håndterer utskriftsjobber. Det sørger for at ting går jevnt mellom programmene og skriveren.

Microsoft anbefaler at organisasjoner tar flere skritt for å beskytte seg selv, 

  • Ta i bruk sikkerhetsoppdateringer for CVE-2022-38028 (11. oktober 2022) og tidligere Print Spooler-sårbarheter (8. juni og 1. juli 2021).
  • Vurder å deaktivere Print Spooler-tjenesten på domenekontrollere (ikke nødvendig for drift).
  • Implementer anbefalinger for herding av legitimasjon.
  • Bruk Endpoint Detection and Response (EDR) med blokkeringsfunksjoner.
  • Aktiver skylevert beskyttelse for antivirusprogramvare.
  • Bruk Microsoft Defender XDR-reglene for reduksjon av angrepsoverflate.

Microsoft Defender Antivirus oppdager GooseEgg som HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint og Microsoft Defender XDR kan også identifisere mistenkelig aktivitet relatert til GooseEgg-distribusjoner.

Ved å holde seg informert om disse truslene og implementere de anbefalte sikkerhetstiltakene, kan organisasjoner bidra til å beskytte seg mot angrep fra Forest Blizzard og andre ondsinnede aktører.

Mer her..

Devesh Beri

Devesh Beri Shield

Teknisk journalist

Dette er tingene som motiverer meg - å lage informativt og nyttig innhold, forfølge lidenskapen min for motorsport og musikk, delta på ekspedisjoner, opprettholde en sunn livsstil og tilbringe tid med min søte katt Taco.