Microsoft alerta que hackers russos têm como alvo o Windows Print Spooler
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Notas chave
- Hackers russos usam uma nova ferramenta (GooseEgg) para explorar a antiga vulnerabilidade do Windows Print Spooler.
- GooseEgg rouba credenciais e dá acesso de alto nível aos invasores.
- Corrija seu sistema (atualizações de outubro de 2022 e junho/julho de 2021) e considere desabilitar o Spooler de impressão em controladores de domínio.
A Microsoft emitiu um alerta sobre uma nova ferramenta usada por um grupo de hackers ligado à Rússia para explorar uma vulnerabilidade no software Windows Print Spooler. Tem havido uma história entre hackers russos e a Microsoft com isto e isto.
O grupo de hackers, conhecido como Forest Blizzard (também conhecido como APT28, Sednit, Sofacy e Fancy Bear), tem como alvo organizações governamentais, de energia, transporte e não governamentais (ONGs) para fins de coleta de inteligência. A Microsoft acredita que a Forest Blizzard está ligada à agência de inteligência russa GRU.
A nova ferramenta, chamada GooseEgg, explora uma vulnerabilidade no serviço Windows Print Spooler (CVE-2022-38028) para obter acesso privilegiado a sistemas comprometidos e roubar credenciais. A vulnerabilidade permite que GooseEgg modifique um arquivo JavaScript e o execute com altas permissões.
O serviço Windows Print Spooler atua como intermediário entre seus aplicativos e sua impressora. É um programa de software executado em segundo plano que gerencia trabalhos de impressão. Ele mantém tudo funcionando perfeitamente entre seus programas e sua impressora.
A Microsoft recomenda que as organizações tomem várias medidas para se protegerem,
- Aplique atualizações de segurança para CVE-2022-38028 (11 de outubro de 2022) e vulnerabilidades anteriores do Spooler de impressão (8 de junho e 1º de julho de 2021).
- Considere desabilitar o serviço Spooler de impressão em controladores de domínio (não necessário para operação).
- Implemente recomendações de proteção de credenciais.
- Use Endpoint Detection and Response (EDR) com recursos de bloqueio.
- Ative a proteção fornecida pela nuvem para software antivírus.
- Utilize as regras de redução da superfície de ataque do Microsoft Defender XDR.
O Microsoft Defender Antivirus detecta GooseEgg como HackTool:Win64/GooseEgg
. O Microsoft Defender for Endpoint e o Microsoft Defender XDR também podem identificar atividades suspeitas relacionadas às implantações do GooseEgg.
Ao manterem-se informadas sobre estas ameaças e implementarem as medidas de segurança recomendadas, as organizações podem ajudar a proteger-se contra ataques da Forest Blizzard e de outros agentes maliciosos.