Microsoft ostrzega, że ​​celem rosyjskich hakerów jest bufor wydruku systemu Windows

Strona główna » Aktualności

Ikona czasu czytania 2 minuta. czytać

Ikona kalendarza Opublikowany

by Devesh Beri 

opublikowane w dniu

Udostępnij ten artykuł

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków. Ikona podpowiedzi

Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej

Kluczowe uwagi

  • Rosyjscy hakerzy wykorzystują nowe narzędzie (GooseEgg) do wykorzystania starej luki w buforze wydruku systemu Windows.
  • GooseEgg kradnie dane uwierzytelniające i zapewnia atakującym dostęp wysokiego poziomu.
  • Załataj swój system (aktualizacje z października 2022 r. i czerwca/lipca 2021 r.) i rozważ wyłączenie buforu wydruku na kontrolerach domeny.

Firma Microsoft wydała ostrzeżenie dotyczące nowego narzędzia wykorzystywanego przez powiązaną z Rosją grupę hakerską do wykorzystania luki w oprogramowaniu buforu wydruku systemu Windows. Między rosyjskimi hakerami a Microsoftem istnieje pewna historia to i to.

Grupa hakerska znana jako Forest Blizzard (nazywana również APT28, Sednit, Sofacy i Fancy Bear) atakuje organizacje rządowe, energetyczne, transportowe i pozarządowe (NGO) w celach wywiadowczych. Microsoft uważa, że ​​Forest Blizzard jest powiązany z rosyjską agencją wywiadowczą GRU.

Nowe narzędzie o nazwie GooseEgg wykorzystuje lukę w usłudze buforu wydruku systemu Windows (CVE-2022-38028) w celu uzyskania uprzywilejowanego dostępu do zaatakowanych systemów i kradzieży danych uwierzytelniających. Luka pozwala GooseEggowi modyfikować plik JavaScript, a następnie uruchamiać go z wysokimi uprawnieniami.

Usługa buforu wydruku systemu Windows pełni rolę pośrednika między aplikacjami a drukarką. Jest to program działający w tle, który zarządza zadaniami drukowania. Zapewnia płynną komunikację między programami a drukarką.

Firma Microsoft zaleca organizacjom podjęcie kilku kroków w celu zapewnienia sobie ochrony, 

  • Zastosuj aktualizacje zabezpieczeń dla CVE-2022-38028 (11 października 2022 r.) i poprzednich luk w buforze wydruku (8 czerwca i 1 lipca 2021 r.).
  • Rozważ wyłączenie usługi buforu wydruku na kontrolerach domeny (nie jest to wymagane do działania).
  • Zaimplementuj zalecenia dotyczące wzmacniania poświadczeń.
  • Użyj funkcji Endpoint Detection and Response (EDR) z możliwością blokowania.
  • Włącz ochronę dostarczaną w chmurze dla oprogramowania antywirusowego.
  • Wykorzystaj zasady zmniejszania powierzchni ataku Microsoft Defender XDR.

Program antywirusowy Microsoft Defender wykrywa GooseEgg jako HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint i Microsoft Defender XDR mogą również identyfikować podejrzaną aktywność związaną z wdrożeniami GooseEgg.

Pozyskując informacje o tych zagrożeniach i wdrażając zalecane środki bezpieczeństwa, organizacje mogą pomóc chronić się przed atakami Forest Blizzard i innymi złośliwymi podmiotami.

Więcej tutaj.

Devesh Beri

Devesh Beri Tarcza

Dziennikarz techniczny

To mnie motywuje – tworzenie przydatnych i informacyjnych treści, realizowanie swojej pasji do sportów motorowych i muzyki, organizowanie wypraw, prowadzenie zdrowego trybu życia i spędzanie czasu z moim uroczym kotem Taco.