Microsoft попереджає, що російські хакери атакували Windows Print Spooler

Головна » Новини

Значок часу читання 2 хв. читати

Піктограма календаря Опубліковано

by Девеш Бері 

опубліковано на

Поділитися цією статтею

Читачі допомагають підтримувати MSpoweruser. Ми можемо отримати комісію, якщо ви купуєте через наші посилання. Значок підказки

Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі

Основні нотатки

  • Російські хакери використовують новий інструмент (GooseEgg), щоб використовувати стару вразливість Windows Print Spooler.
  • GooseEgg викрадає облікові дані та надає зловмисникам доступ високого рівня.
  • Виправте свою систему (оновлення від жовтня 2022 р. та червня/липня 2021 р.) і вимкніть спулер друку на контролерах домену.

Корпорація Майкрософт випустила попередження про новий інструмент, який використовує пов’язана з Росією хакерська група для використання вразливості в програмному забезпеченні Windows Print Spooler. Була історія між російськими хакерами та Microsoft це та це.

Хакерська група, відома як Forest Blizzard (також відома як APT28, Sednit, Sofacy і Fancy Bear), з метою збору розвідувальної інформації атакувала урядові, енергетичні, транспортні та неурядові організації (НУО). Microsoft вважає, що Forest Blizzard пов’язана з російським розвідувальним управлінням ГРУ.

Новий інструмент під назвою GooseEgg використовує вразливість у службі Windows Print Spooler (CVE-2022-38028), щоб отримати привілейований доступ до скомпрометованих систем і викрасти облікові дані. Уразливість дозволяє GooseEgg змінювати файл JavaScript, а потім виконувати його з високими дозволами.

Служба Windows Print Spooler діє як посередник між вашими програмами та вашим принтером. Це програмне забезпечення, що працює у фоновому режимі та керує завданнями друку. Це забезпечує безперебійну роботу між програмами та принтером.

Корпорація Майкрософт рекомендує організаціям вжити кількох заходів, щоб захистити себе, 

  • Застосуйте оновлення безпеки для CVE-2022-38028 (11 жовтня 2022 р.) і попередніх уразливостей диспетчера друку (8 червня та 1 липня 2021 р.).
  • Спробуйте вимкнути службу диспетчера друку на контролерах домену (не потрібно для роботи).
  • Виконайте рекомендації щодо зміцнення облікових даних.
  • Використовуйте функцію виявлення та відповіді кінцевої точки (EDR) із можливостями блокування.
  • Увімкніть хмарний захист для антивірусного програмного забезпечення.
  • Використовуйте правила зменшення поверхні атак Microsoft Defender XDR.

Антивірус Microsoft Defender виявляє GooseEgg як HackTool:Win64/GooseEgg. Microsoft Defender for Endpoint і Microsoft Defender XDR також можуть виявляти підозрілу активність, пов’язану з розгортанням GooseEgg.

Залишаючись у курсі цих загроз і впроваджуючи рекомендовані заходи безпеки, організації можуть захистити себе від атак Forest Blizzard та інших зловмисників.

більше тут.

Девеш Бері

Девеш Бері Щит

Технічний журналіст

Це речі, які мене мотивують: створення інформативного та корисного контенту, захоплення мотоспортом і музикою, участь в експедиціях, підтримання здорового способу життя та проведення часу з моїм чарівним котом Тако.