Microsoft alerta que hackers russos têm como alvo o Windows Print Spooler

Início » Novidades

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Publicado em

by Devesh Beri 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

Notas chave

  • Hackers russos usam uma nova ferramenta (GooseEgg) para explorar a antiga vulnerabilidade do Windows Print Spooler.
  • GooseEgg rouba credenciais e dá acesso de alto nível aos invasores.
  • Corrija seu sistema (atualizações de outubro de 2022 e junho/julho de 2021) e considere desabilitar o Spooler de impressão em controladores de domínio.

A Microsoft emitiu um alerta sobre uma nova ferramenta usada por um grupo de hackers ligado à Rússia para explorar uma vulnerabilidade no software Windows Print Spooler. Tem havido uma história entre hackers russos e a Microsoft com isto e isto.

O grupo de hackers, conhecido como Forest Blizzard (também conhecido como APT28, Sednit, Sofacy e Fancy Bear), tem como alvo organizações governamentais, de energia, transporte e não governamentais (ONGs) para fins de coleta de inteligência. A Microsoft acredita que a Forest Blizzard está ligada à agência de inteligência russa GRU.

A nova ferramenta, chamada GooseEgg, explora uma vulnerabilidade no serviço Windows Print Spooler (CVE-2022-38028) para obter acesso privilegiado a sistemas comprometidos e roubar credenciais. A vulnerabilidade permite que GooseEgg modifique um arquivo JavaScript e o execute com altas permissões.

O serviço Windows Print Spooler atua como intermediário entre seus aplicativos e sua impressora. É um programa de software executado em segundo plano que gerencia trabalhos de impressão. Ele mantém tudo funcionando perfeitamente entre seus programas e sua impressora.

A Microsoft recomenda que as organizações tomem várias medidas para se protegerem, 

  • Aplique atualizações de segurança para CVE-2022-38028 (11 de outubro de 2022) e vulnerabilidades anteriores do Spooler de impressão (8 de junho e 1º de julho de 2021).
  • Considere desabilitar o serviço Spooler de impressão em controladores de domínio (não necessário para operação).
  • Implemente recomendações de proteção de credenciais.
  • Use Endpoint Detection and Response (EDR) com recursos de bloqueio.
  • Ative a proteção fornecida pela nuvem para software antivírus.
  • Utilize as regras de redução da superfície de ataque do Microsoft Defender XDR.

O Microsoft Defender Antivirus detecta GooseEgg como HackTool:Win64/GooseEgg. O Microsoft Defender for Endpoint e o Microsoft Defender XDR também podem identificar atividades suspeitas relacionadas às implantações do GooseEgg.

Ao manterem-se informadas sobre estas ameaças e implementarem as medidas de segurança recomendadas, as organizações podem ajudar a proteger-se contra ataques da Forest Blizzard e de outros agentes maliciosos.

Mais SUA PARTICIPAÇÃO FAZ A DIFERENÇA.

Devesh Beri

Devesh Beri Proteger

Jornalista de Tecnologia

Estas são as coisas que me motivam - criar conteúdo informativo e útil, perseguir a minha paixão pelos desportos motorizados e pela música, participar em expedições, manter um estilo de vida saudável e passar tempo com o meu adorável gato Taco.