Microsoft avertizează că hackerii ruși vizează Windows Print Spooler

Pictograma timp de citire 2 min. citit


Cititorii ajută la sprijinirea MSpoweruser. Este posibil să primim un comision dacă cumpărați prin link-urile noastre. Pictograma Tooltip

Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Afla mai multe

Note cheie

  • Hackerii ruși folosesc un nou instrument (GooseEgg) pentru a exploata vechea vulnerabilitate Windows Print Spooler.
  • GooseEgg fură acreditările și oferă acces la nivel înalt atacatorilor.
  • Corectați-vă sistemul (actualizări din octombrie 2022 și iunie/iulie 2021) și luați în considerare dezactivarea Print Spooler pe controlerele de domeniu.
Clădirea Microsoft

Microsoft a emis un avertisment cu privire la un nou instrument folosit de un grup de hacking legat de Rusia pentru a exploata o vulnerabilitate a software-ului Windows Print Spooler. A existat o istorie între hackerii ruși și Microsoft cu acest si acest.

Grupul de hacking, cunoscut sub numele de Forest Blizzard (numit și APT28, Sednit, Sofacy și Fancy Bear), a vizat organizații guvernamentale, energetice, de transport și neguvernamentale (ONG-uri) în scopuri de colectare de informații. Microsoft crede că Forest Blizzard este legat de agenția rusă de informații GRU.

Noul instrument, numit GooseEgg, exploatează o vulnerabilitate din serviciul Windows Print Spooler (CVE-2022-38028) pentru a obține acces privilegiat la sistemele compromise și pentru a fura acreditările. Vulnerabilitatea îi permite lui GooseEgg să modifice un fișier JavaScript și apoi să îl execute cu permisiuni ridicate.

Serviciul Windows Print Spooler acţionează ca intermediar între aplicaţiile dumneavoastră şi imprimanta dumneavoastră. Este un program software care rulează în fundal și gestionează lucrările de imprimare. Funcționează fără probleme între programe și imprimantă.

Microsoft recomandă organizațiilor să ia mai mulți pași pentru a se proteja, 

  • Aplicați actualizări de securitate pentru CVE-2022-38028 (11 octombrie 2022) și vulnerabilitățile anterioare Print Spooler (8 iunie și 1 iulie 2021).
  • Luați în considerare dezactivarea serviciului Print Spooler pe controlerele de domeniu (nu este necesar pentru funcționare).
  • Implementați recomandări de întărire a acreditărilor.
  • Utilizați Endpoint Detection and Response (EDR) cu capabilități de blocare.
  • Activați protecția oferită în cloud pentru software-ul antivirus.
  • Utilizați regulile de reducere a suprafeței de atac Microsoft Defender XDR.

Microsoft Defender Antivirus detectează GooseEgg ca HackTool:Win64/GooseEgg. Microsoft Defender pentru Endpoint și Microsoft Defender XDR pot identifica, de asemenea, activitățile suspecte legate de implementările GooseEgg.

Rămânând la curent cu aceste amenințări și implementând măsurile de securitate recomandate, organizațiile se pot proteja de atacurile Forest Blizzard și ale altor actori rău intenționați.

Mai Mult aici.

Forumul utilizatorilor

0 mesaje