Microsoft ostrzega, że celem rosyjskich hakerów jest bufor wydruku systemu Windows
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Kluczowe uwagi
- Rosyjscy hakerzy wykorzystują nowe narzędzie (GooseEgg) do wykorzystania starej luki w buforze wydruku systemu Windows.
- GooseEgg kradnie dane uwierzytelniające i zapewnia atakującym dostęp wysokiego poziomu.
- Załataj swój system (aktualizacje z października 2022 r. i czerwca/lipca 2021 r.) i rozważ wyłączenie buforu wydruku na kontrolerach domeny.
Firma Microsoft wydała ostrzeżenie dotyczące nowego narzędzia wykorzystywanego przez powiązaną z Rosją grupę hakerską do wykorzystania luki w oprogramowaniu buforu wydruku systemu Windows. Między rosyjskimi hakerami a Microsoftem istnieje pewna historia to i to.
Grupa hakerska znana jako Forest Blizzard (nazywana również APT28, Sednit, Sofacy i Fancy Bear) atakuje organizacje rządowe, energetyczne, transportowe i pozarządowe (NGO) w celach wywiadowczych. Microsoft uważa, że Forest Blizzard jest powiązany z rosyjską agencją wywiadowczą GRU.
Nowe narzędzie o nazwie GooseEgg wykorzystuje lukę w usłudze buforu wydruku systemu Windows (CVE-2022-38028) w celu uzyskania uprzywilejowanego dostępu do zaatakowanych systemów i kradzieży danych uwierzytelniających. Luka pozwala GooseEggowi modyfikować plik JavaScript, a następnie uruchamiać go z wysokimi uprawnieniami.
Usługa buforu wydruku systemu Windows pełni rolę pośrednika między aplikacjami a drukarką. Jest to program działający w tle, który zarządza zadaniami drukowania. Zapewnia płynną komunikację między programami a drukarką.
Firma Microsoft zaleca organizacjom podjęcie kilku kroków w celu zapewnienia sobie ochrony,
- Zastosuj aktualizacje zabezpieczeń dla CVE-2022-38028 (11 października 2022 r.) i poprzednich luk w buforze wydruku (8 czerwca i 1 lipca 2021 r.).
- Rozważ wyłączenie usługi buforu wydruku na kontrolerach domeny (nie jest to wymagane do działania).
- Zaimplementuj zalecenia dotyczące wzmacniania poświadczeń.
- Użyj funkcji Endpoint Detection and Response (EDR) z możliwością blokowania.
- Włącz ochronę dostarczaną w chmurze dla oprogramowania antywirusowego.
- Wykorzystaj zasady zmniejszania powierzchni ataku Microsoft Defender XDR.
Program antywirusowy Microsoft Defender wykrywa GooseEgg jako HackTool:Win64/GooseEgg
. Microsoft Defender for Endpoint i Microsoft Defender XDR mogą również identyfikować podejrzaną aktywność związaną z wdrożeniami GooseEgg.
Pozyskując informacje o tych zagrożeniach i wdrażając zalecane środki bezpieczeństwa, organizacje mogą pomóc chronić się przed atakami Forest Blizzard i innymi złośliwymi podmiotami.
Więcej tutaj.