Microsoft varuje, že ruskí hackeri sa zameriavajú na Windows Print Spooler

Domov » Novinky

Ikona času čítania 2 min. čítať

Ikona kalendára Publikované dňa

by Devesh Beri 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Kľúčové poznámky

  • Ruskí hackeri používajú nový nástroj (GooseEgg) na zneužitie starej zraniteľnosti Windows Print Spooler.
  • GooseEgg kradne poverenia a poskytuje útočníkom prístup na vysokej úrovni.
  • Opravte svoj systém (aktualizácie z októbra 2022 a júna/júla 2021) a zvážte vypnutie služby Print Spooler na radičoch domény.

Spoločnosť Microsoft vydala varovanie pred novým nástrojom, ktorý používa hackerská skupina napojená na Rusko na zneužitie zraniteľnosti softvéru Windows Print Spooler. Medzi ruskými hackermi a spoločnosťou Microsoft existuje história toto a toto.

Hackerská skupina známa ako Forest Blizzard (tiež označovaná ako APT28, Sednit, Sofacy a Fancy Bear) sa zameriava na vládne, energetické, dopravné a mimovládne organizácie (NGO) na účely zhromažďovania spravodajských informácií. Microsoft verí, že Forest Blizzard je prepojený s ruskou spravodajskou agentúrou GRU.

Nový nástroj s názvom GooseEgg využíva zraniteľnosť služby Windows Print Spooler (CVE-2022-38028) na získanie privilegovaného prístupu k ohrozeným systémom a ukradnutie poverení. Táto chyba zabezpečenia umožňuje GooseEgg upraviť súbor JavaScript a potom ho spustiť s vysokými povoleniami.

Služba Windows Print Spooler funguje ako prostredník medzi vašimi aplikáciami a vašou tlačiarňou. Je to softvérový program bežiaci na pozadí, ktorý spravuje tlačové úlohy. Zabezpečuje hladký chod medzi vašimi programami a tlačiarňou.

Spoločnosť Microsoft odporúča, aby organizácie podnikli niekoľko krokov na svoju ochranu, 

  • Použite aktualizácie zabezpečenia pre CVE-2022-38028 (11. október 2022) a predchádzajúce chyby zabezpečenia služby Print Spooler (8. júna a 1. júla 2021).
  • Zvážte zakázanie služby Print Spooler na radičoch domény (nevyžaduje sa na prevádzku).
  • Implementujte odporúčania na posilnenie poverení.
  • Použite Endpoint Detection and Response (EDR) s blokovacími funkciami.
  • Povoľte cloudovú ochranu pre antivírusový softvér.
  • Využite pravidlá redukcie povrchu útoku Microsoft Defender XDR.

Microsoft Defender Antivirus deteguje GooseEgg ako HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint a Microsoft Defender XDR dokážu identifikovať aj podozrivú aktivitu súvisiacu s nasadením GooseEgg.

Udržiavaním informácií o týchto hrozbách a implementáciou odporúčaných bezpečnostných opatrení môžu organizácie pomôcť chrániť sa pred útokmi Forest Blizzard a iných škodlivých aktérov.

viac tu.

Devesh Beri

Devesh Beri Shield

Technický novinár

Toto sú veci, ktoré ma motivujú – vytváranie informatívneho a užitočného obsahu, venovanie sa mojej vášni pre motoršport a hudbu, zapájanie sa do expedícií, udržiavanie zdravého životného štýlu a trávenie času s mojou rozkošnou mačkou Taco.