Microsoft предупреждает, что российские хакеры атакуют диспетчер очереди печати Windows

Значок времени чтения 2 минута. читать


Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Ключевые заметки

  • Российские хакеры используют новый инструмент (GooseEgg) для эксплуатации старой уязвимости Windows Print Spooler.
  • GooseEgg крадет учетные данные и предоставляет злоумышленникам доступ высокого уровня.
  • Установите исправления для своей системы (обновления от октября 2022 г. и июня/июля 2021 г.) и рассмотрите возможность отключения диспетчера очереди печати на контроллерах домена.

Microsoft выпустила предупреждение о новом инструменте, используемом связанной с Россией хакерской группой для использования уязвимости в программном обеспечении Windows Print Spooler. Между российскими хакерами и Microsoft уже была история с этой и этой.

Хакерская группа, известная как Forest Blizzard (также известная как APT28, Sednit, Sofacy и Fancy Bear), нацелена на правительственные, энергетические, транспортные и неправительственные организации (НПО) в целях сбора разведывательной информации. Microsoft считает, что Forest Blizzard связана с российской разведкой ГРУ.

Новый инструмент под названием GooseEgg использует уязвимость в службе диспетчера очереди печати Windows (CVE-2022-38028) для получения привилегированного доступа к скомпрометированным системам и кражи учетных данных. Уязвимость позволяет GooseEgg изменить файл JavaScript, а затем выполнить его с высокими разрешениями.

Служба диспетчера очереди печати Windows действует как посредник между вашими приложениями и вашим принтером. Это программа, работающая в фоновом режиме и управляющая заданиями на печать. Он обеспечивает бесперебойную работу между вашими программами и принтером.

Microsoft рекомендует организациям предпринять несколько шагов для защиты: 

  • Примените обновления безопасности для CVE-2022-38028 (11 октября 2022 г.) и предыдущих уязвимостей диспетчера очереди печати (8 июня и 1 июля 2021 г.).
  • Рассмотрите возможность отключения службы диспетчера очереди печати на контроллерах домена (не требуется для работы).
  • Внедрите рекомендации по усилению учетных данных.
  • Используйте обнаружение и реагирование конечных точек (EDR) с возможностями блокировки.
  • Включите облачную защиту для антивирусного программного обеспечения.
  • Используйте правила уменьшения вероятности атаки XDR в Microsoft Defender.

Антивирусная программа Microsoft Defender обнаруживает GooseEgg как HackTool:Win64/GooseEgg. Microsoft Defender для конечной точки и Microsoft Defender XDR также могут выявлять подозрительную активность, связанную с развертываниями GooseEgg.

Оставаясь в курсе этих угроз и применяя рекомендуемые меры безопасности, организации могут помочь защитить себя от атак Forest Blizzard и других злоумышленников.

Больше здесь.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *