Microsoft varnar för att ryska hackare riktar sig mot Windows Print Spooler

Hem » Nyheter

Lästid ikon 2 min. läsa

Kalenderikonen Publicerad den

by Devesh Beri 

publicerad den

Dela den här artikeln

Läsare hjälper till att stödja MSpoweruser. Vi kan få en provision om du köper via våra länkar. Verktygstipsikon

Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer

Viktiga anteckningar

  • Ryska hackare använder ett nytt verktyg (GooseEgg) för att utnyttja gammal Windows Print Spooler-sårbarhet.
  • GooseEgg stjäl referenser och ger angripare åtkomst på hög nivå.
  • Patcha ditt system (uppdateringar från oktober 2022 och juni/juli 2021) och överväg att inaktivera Print Spooler på domänkontrollanter.

Microsoft har utfärdat en varning om ett nytt verktyg som används av en rysk-länkad hackergrupp för att utnyttja en sårbarhet i Windows Print Spooler-programvara. Det har funnits en historia mellan ryska hackare och Microsoft med detta och detta.

Hackargruppen, känd som Forest Blizzard (även kallad APT28, Sednit, Sofacy och Fancy Bear), har riktat in sig på myndigheter, energi, transporter och icke-statliga organisationer (NGOs) i syfte att samla in underrättelser. Microsoft tror att Forest Blizzard är kopplad till Rysslands underrättelsetjänst GRU.

Det nya verktyget, kallat GooseEgg, utnyttjar en sårbarhet i Windows Print Spooler-tjänsten (CVE-2022-38028) för att få privilegierad tillgång till komprometterade system och stjäla referenser. Sårbarheten tillåter GooseEgg att modifiera en JavaScript-fil och sedan exekvera den med höga behörigheter.

Tjänsten Windows Print Spooler fungerar som en mellanhand mellan dina program och din skrivare. Det är ett program som körs i bakgrunden som hanterar utskriftsjobb. Det håller saker att fungera smidigt mellan dina program och din skrivare.

Microsoft rekommenderar att organisationer vidtar flera åtgärder för att skydda sig själva, 

  • Tillämpa säkerhetsuppdateringar för CVE-2022-38028 (11 oktober 2022) och tidigare Print Spooler-sårbarheter (8 juni och 1 juli 2021).
  • Överväg att inaktivera Print Spooler-tjänsten på domänkontrollanter (krävs inte för drift).
  • Implementera rekommendationer om meriter.
  • Använd Endpoint Detection and Response (EDR) med blockeringsfunktioner.
  • Aktivera molnlevererat skydd för antivirusprogram.
  • Använd Microsoft Defender XDR-regler för minskning av attackytan.

Microsoft Defender Antivirus upptäcker GooseEgg som HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint och Microsoft Defender XDR kan också identifiera misstänkt aktivitet relaterad till GooseEgg-distributioner.

Genom att hålla sig informerad om dessa hot och implementera de rekommenderade säkerhetsåtgärderna kan organisationer hjälpa till att skydda sig mot attacker från Forest Blizzard och andra illvilliga aktörer.

Snarare här..

Devesh Beri

Devesh Beri Sköld

Teknisk journalist

Det här är sakerna som motiverar mig - att skapa informativt och användbart innehåll, fortsätta min passion för motorsport och musik, delta i expeditioner, upprätthålla en hälsosam livsstil och umgås med min bedårande katt Taco.