Microsoft advarer om at russiske hackere retter seg mot Windows Print Spooler
2 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Viktige merknader
- Russiske hackere bruker nytt verktøy (GooseEgg) for å utnytte gammel Windows Print Spooler-sårbarhet.
- GooseEgg stjeler legitimasjon og gir tilgang på høyt nivå til angripere.
- Oppdater systemet ditt (oppdateringer fra oktober 2022 og juni/juli 2021) og vurder å deaktivere Print Spooler på domenekontrollere.
Microsoft har utstedt en advarsel om et nytt verktøy som brukes av en russisk-tilknyttet hackergruppe for å utnytte en sårbarhet i Windows Print Spooler-programvare. Det har vært en historie mellom russiske hackere og Microsoft med denne og denne.
Hackergruppen, kjent som Forest Blizzard (også referert til som APT28, Sednit, Sofacy og Fancy Bear), har vært rettet mot myndigheter, energi, transport og ikke-statlige organisasjoner (NGOer) for etterretningsinnhentingsformål. Microsoft mener Forest Blizzard er knyttet til Russlands GRU-etterretningsbyrå.
Det nye verktøyet, kalt GooseEgg, utnytter en sårbarhet i Windows Print Spooler-tjenesten (CVE-2022-38028) for å få privilegert tilgang til kompromitterte systemer og stjele legitimasjon. Sårbarheten lar GooseEgg endre en JavaScript-fil og deretter kjøre den med høye tillatelser.
Windows Print Spooler-tjenesten fungerer som en mellommann mellom programmene og skriveren. Det er et program som kjører i bakgrunnen som håndterer utskriftsjobber. Det sørger for at ting går jevnt mellom programmene og skriveren.
Microsoft anbefaler at organisasjoner tar flere skritt for å beskytte seg selv,
- Ta i bruk sikkerhetsoppdateringer for CVE-2022-38028 (11. oktober 2022) og tidligere Print Spooler-sårbarheter (8. juni og 1. juli 2021).
- Vurder å deaktivere Print Spooler-tjenesten på domenekontrollere (ikke nødvendig for drift).
- Implementer anbefalinger for herding av legitimasjon.
- Bruk Endpoint Detection and Response (EDR) med blokkeringsfunksjoner.
- Aktiver skylevert beskyttelse for antivirusprogramvare.
- Bruk Microsoft Defender XDR-reglene for reduksjon av angrepsoverflate.
Microsoft Defender Antivirus oppdager GooseEgg som HackTool:Win64/GooseEgg
. Microsoft Defender for Endpoint og Microsoft Defender XDR kan også identifisere mistenkelig aktivitet relatert til GooseEgg-distribusjoner.
Ved å holde seg informert om disse truslene og implementere de anbefalte sikkerhetstiltakene, kan organisasjoner bidra til å beskytte seg mot angrep fra Forest Blizzard og andre ondsinnede aktører.
Mer her..
Brukerforum
0 meldinger