Microsoft предупреждает, что российские хакеры атакуют диспетчер очереди печати Windows
2 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Ключевые заметки
- Российские хакеры используют новый инструмент (GooseEgg) для эксплуатации старой уязвимости Windows Print Spooler.
- GooseEgg крадет учетные данные и предоставляет злоумышленникам доступ высокого уровня.
- Установите исправления для своей системы (обновления от октября 2022 г. и июня/июля 2021 г.) и рассмотрите возможность отключения диспетчера очереди печати на контроллерах домена.
Microsoft выпустила предупреждение о новом инструменте, используемом связанной с Россией хакерской группой для использования уязвимости в программном обеспечении Windows Print Spooler. Между российскими хакерами и Microsoft уже была история с этой и этой.
Хакерская группа, известная как Forest Blizzard (также известная как APT28, Sednit, Sofacy и Fancy Bear), нацелена на правительственные, энергетические, транспортные и неправительственные организации (НПО) в целях сбора разведывательной информации. Microsoft считает, что Forest Blizzard связана с российской разведкой ГРУ.
Новый инструмент под названием GooseEgg использует уязвимость в службе диспетчера очереди печати Windows (CVE-2022-38028) для получения привилегированного доступа к скомпрометированным системам и кражи учетных данных. Уязвимость позволяет GooseEgg изменить файл JavaScript, а затем выполнить его с высокими разрешениями.
Служба диспетчера очереди печати Windows действует как посредник между вашими приложениями и вашим принтером. Это программа, работающая в фоновом режиме и управляющая заданиями на печать. Он обеспечивает бесперебойную работу между вашими программами и принтером.
Microsoft рекомендует организациям предпринять несколько шагов для защиты:
- Примените обновления безопасности для CVE-2022-38028 (11 октября 2022 г.) и предыдущих уязвимостей диспетчера очереди печати (8 июня и 1 июля 2021 г.).
- Рассмотрите возможность отключения службы диспетчера очереди печати на контроллерах домена (не требуется для работы).
- Внедрите рекомендации по усилению учетных данных.
- Используйте обнаружение и реагирование конечных точек (EDR) с возможностями блокировки.
- Включите облачную защиту для антивирусного программного обеспечения.
- Используйте правила уменьшения вероятности атаки XDR в Microsoft Defender.
Антивирусная программа Microsoft Defender обнаруживает GooseEgg как HackTool:Win64/GooseEgg
. Microsoft Defender для конечной точки и Microsoft Defender XDR также могут выявлять подозрительную активность, связанную с развертываниями GooseEgg.
Оставаясь в курсе этих угроз и применяя рекомендуемые меры безопасности, организации могут помочь защитить себя от атак Forest Blizzard и других злоумышленников.
Больше здесь.