Microsoft เตือนแฮกเกอร์ชาวรัสเซียกำหนดเป้าหมาย Windows Print Spooler

Microsoft ได้ออกคำเตือนเกี่ยวกับเครื่องมือใหม่ที่ใช้โดยกลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับรัสเซียเพื่อใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ Windows Print Spooler มีประวัติระหว่างแฮกเกอร์ชาวรัสเซียและไมโครซอฟต์ด้วย นี้ และ นี้.

กลุ่มแฮ็คที่รู้จักกันในชื่อ Forest Blizzard (หรือเรียกอีกอย่างว่า APT28, Sednit, Sofacy และ Fancy Bear) มุ่งเป้าไปที่องค์กรภาครัฐ พลังงาน การขนส่ง และองค์กรพัฒนาเอกชน (NGO) เพื่อวัตถุประสงค์ในการรวบรวมข่าวกรอง Microsoft เชื่อว่า Forest Blizzard เชื่อมโยงกับหน่วยข่าวกรอง GRU ของรัสเซีย

เครื่องมือใหม่ที่เรียกว่า GooseEgg ใช้ช่องโหว่ในบริการ Windows Print Spooler (CVE-2022-38028) เพื่อเข้าถึงระบบที่ถูกบุกรุกและขโมยข้อมูลรับรองโดยได้รับสิทธิพิเศษ ช่องโหว่ดังกล่าวทำให้ GooseEgg สามารถแก้ไขไฟล์ JavaScript จากนั้นจึงรันไฟล์ด้วยสิทธิ์ระดับสูง

บริการ Windows Print Spooler ทำหน้าที่เป็นตัวกลางระหว่างแอปพลิเคชันและเครื่องพิมพ์ของคุณ เป็นโปรแกรมซอฟต์แวร์ที่ทำงานอยู่เบื้องหลังซึ่งจัดการงานพิมพ์ ช่วยให้สิ่งต่างๆ ทำงานได้อย่างราบรื่นระหว่างโปรแกรมและเครื่องพิมพ์ของคุณ

Microsoft แนะนำให้องค์กรดำเนินการหลายขั้นตอนเพื่อปกป้องตนเอง 

• ใช้การอัปเดตความปลอดภัยสำหรับ CVE-2022-38028 (11 ตุลาคม 2022) และช่องโหว่ Print Spooler ก่อนหน้า (8 มิถุนายนและ 1 กรกฎาคม 2021)
• พิจารณาปิดใช้งานบริการ Print Spooler บนตัวควบคุมโดเมน (ไม่จำเป็นสำหรับการดำเนินการ)
• ปฏิบัติตามคำแนะนำในการเสริมความแข็งแกร่งของข้อมูลรับรอง
• ใช้ Endpoint Detection and Response (EDR) พร้อมความสามารถในการบล็อก
• เปิดใช้งานการป้องกันที่ส่งผ่านคลาวด์สำหรับซอฟต์แวร์ป้องกันไวรัส
• ใช้กฎการลดพื้นผิวการโจมตีของ Microsoft Defender XDR

Microsoft Defender Antivirus ตรวจพบ GooseEgg เป็น HackTool:Win64/GooseEgg- Microsoft Defender for Endpoint และ Microsoft Defender XDR ยังสามารถระบุกิจกรรมที่น่าสงสัยที่เกี่ยวข้องกับการใช้งาน GooseEgg ได้อีกด้วย

ด้วยการรับทราบข้อมูลเกี่ยวกับภัยคุกคามเหล่านี้และการนำมาตรการรักษาความปลอดภัยที่แนะนำไปใช้ องค์กรต่างๆ จะสามารถช่วยปกป้องตนเองจากการโจมตีของ Forest Blizzard และผู้ไม่หวังดีอื่นๆ ได้

More โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.