Microsoft opozarja, da ruski hekerji napadajo Windows Print Spooler

Domov » Novice

Ikona časa branja 2 min. prebrati

Ikona koledarja Objavljeno dne

by Devesh Beri 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Ključne opombe

  • Ruski hekerji uporabljajo novo orodje (GooseEgg) za izkoriščanje stare ranljivosti programa Windows Print Spooler.
  • GooseEgg ukrade poverilnice in napadalcem omogoči dostop na visoki ravni.
  • Popravite svoj sistem (posodobitve od oktobra 2022 in junija/julija 2021) in razmislite o onemogočanju Print Spoolerja na krmilnikih domene.

Microsoft je izdal opozorilo o novem orodju, ki ga hekerska skupina, povezana z Rusijo, uporablja za izkoriščanje ranljivosti v programski opremi Windows Print Spooler. Med ruskimi hekerji in Microsoftom obstaja zgodovina ta in ta.

Hekerska skupina, znana kot Forest Blizzard (imenovana tudi APT28, Sednit, Sofacy in Fancy Bear), cilja na vladne, energetske, transportne in nevladne organizacije (NVO) za namene zbiranja obveščevalnih podatkov. Microsoft verjame, da je Forest Blizzard povezan z rusko obveščevalno agencijo GRU.

Novo orodje, imenovano GooseEgg, izkorišča ranljivost v storitvi Windows Print Spooler (CVE-2022-38028) za pridobitev privilegiranega dostopa do ogroženih sistemov in krajo poverilnic. Ranljivost omogoča GooseEgg, da spremeni datoteko JavaScript in jo nato izvede z visokimi dovoljenji.

Storitev Windows Print Spooler deluje kot posrednik med vašimi aplikacijami in vašim tiskalnikom. To je program, ki deluje v ozadju in upravlja tiskalna opravila. Omogoča nemoteno delovanje med vašimi programi in tiskalnikom.

Microsoft priporoča, da organizacije sprejmejo več korakov, da se zaščitijo, 

  • Uporabite varnostne posodobitve za CVE-2022-38028 (11. oktober 2022) in prejšnje ranljivosti tiskalnika v ozadju (8. junij in 1. julij 2021).
  • Razmislite o onemogočanju storitve tiskanja v ozadju na krmilnikih domene (ni potrebna za delovanje).
  • Izvedite priporočila za utrjevanje poverilnic.
  • Uporabite zaznavanje in odziv končne točke (EDR) z zmožnostmi blokiranja.
  • Omogočite zaščito v oblaku za protivirusno programsko opremo.
  • Uporabite pravila za zmanjšanje napadalne površine Microsoft Defender XDR.

Microsoft Defender Antivirus zazna GooseEgg kot HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint in Microsoft Defender XDR lahko prepoznata tudi sumljivo dejavnost, povezano z uvedbami GooseEgg.

Če so organizacije obveščene o teh grožnjah in izvajajo priporočene varnostne ukrepe, se lahko zaščitijo pred napadi Forest Blizzard in drugih zlonamernih akterjev.

Več tukaj.

Devesh Beri

Devesh Beri Shield

Tehnični novinar

To so stvari, ki me motivirajo – ustvarjanje informativne in koristne vsebine, uresničevanje moje strasti do motošporta in glasbe, sodelovanje v ekspedicijah, ohranjanje zdravega načina življenja in preživljanje časa z mojo čudovito mačko Taco.