Microsoft, Rus bilgisayar korsanlarının Windows Yazdırma Biriktiricisini hedef aldığı konusunda uyardı

Ana Sayfa » Haberler

Okuma zamanı simgesi 2 dk. okuman

Takvim simgesi Yayınlandı

by Deveş Beri 

yayınlandı

Bu makaleyi paylaş

Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

Önemli notlar

  • Rus bilgisayar korsanları, eski Windows Yazdırma Biriktiricisi güvenlik açığından yararlanmak için yeni araç (GooseEgg) kullanıyor.
  • GooseEgg kimlik bilgilerini çalar ve saldırganlara üst düzey erişim sağlar.
  • Sisteminize yama yapın (Ekim 2022 ve Haziran/Temmuz 2021'den itibaren güncellemeler) ve etki alanı denetleyicilerinde Yazdırma Biriktiricisi'ni devre dışı bırakmayı düşünün.

Microsoft, Rusya bağlantılı bir bilgisayar korsanlığı grubunun Windows Yazdırma Biriktiricisi yazılımındaki bir güvenlik açığından yararlanmak için kullandığı yeni bir araç hakkında bir uyarı yayınladı. Rus hackerlar ile Microsoft arasında bir geçmiş var. Re-Tweet ve Re-Tweet.

Forest Blizzard (APT28, Sednit, Sofacy ve Fancy Bear olarak da anılır) olarak bilinen bilgisayar korsanlığı grubu, istihbarat toplama amacıyla hükümeti, enerjiyi, ulaşımı ve sivil toplum kuruluşlarını (STK'lar) hedef alıyor. Microsoft, Forest Blizzard'ın Rusya'nın GRU istihbarat teşkilatı ile bağlantılı olduğuna inanıyor.

GooseEgg adı verilen yeni araç, güvenliği ihlal edilmiş sistemlere ayrıcalıklı erişim elde etmek ve kimlik bilgilerini çalmak için Windows Yazdırma Biriktiricisi hizmetindeki (CVE-2022-38028) bir güvenlik açığından yararlanıyor. Güvenlik açığı, GooseEgg'in bir JavaScript dosyasını değiştirmesine ve ardından dosyayı yüksek izinlerle yürütmesine olanak tanıyor.

Windows Yazdırma Biriktiricisi hizmeti, uygulamalarınız ve yazıcınız arasında aracı görevi görür. Yazdırma işlerini yöneten, arka planda çalışan bir yazılım programıdır. Programlarınız ile yazıcınız arasında işlerin sorunsuz ilerlemesini sağlar.

Microsoft, kuruluşların kendilerini korumak için çeşitli adımlar atmasını önerir. 

  • CVE-2022-38028 (11 Ekim 2022) ve önceki Yazdırma Biriktiricisi güvenlik açıkları (8 Haziran ve 1 Temmuz 2021) için güvenlik güncellemelerini uygulayın.
  • Etki alanı denetleyicilerinde Yazdırma Biriktiricisi hizmetini devre dışı bırakmayı düşünün (işlem için gerekli değildir).
  • Kimlik bilgileri sağlamlaştırma önerilerini uygulayın.
  • Engelleme yetenekleriyle Uç Nokta Algılama ve Yanıtını (EDR) kullanın.
  • Antivirüs yazılımı için bulut üzerinden sağlanan korumayı etkinleştirin.
  • Microsoft Defender XDR saldırı yüzeyi azaltma kurallarını kullanın.

Microsoft Defender Antivirus, GooseEgg'i şu şekilde algılar: HackTool:Win64/GooseEgg. Uç Nokta için Microsoft Defender ve Microsoft Defender XDR, GooseEgg dağıtımlarıyla ilgili şüpheli etkinlikleri de tanımlayabilir.

Kuruluşlar bu tehditler hakkında bilgi sahibi olarak ve önerilen güvenlik önlemlerini uygulayarak kendilerini Forest Blizzard ve diğer kötü niyetli aktörlerin saldırılarına karşı korumaya yardımcı olabilirler.

Daha okuyun.

Deveş Beri

Deveş Beri Kalkan

Teknoloji Gazetecisi

Bunlar beni motive eden şeyler: bilgilendirici ve faydalı içerikler oluşturmak, motor sporları ve müzik tutkumun peşinden gitmek, keşif gezilerine katılmak, sağlıklı bir yaşam tarzı sürdürmek ve sevimli kedim Taco ile vakit geçirmek.