Microsoft попереджає, що російські хакери атакували Windows Print Spooler
2 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Основні нотатки
- Російські хакери використовують новий інструмент (GooseEgg), щоб використовувати стару вразливість Windows Print Spooler.
- GooseEgg викрадає облікові дані та надає зловмисникам доступ високого рівня.
- Виправте свою систему (оновлення від жовтня 2022 р. та червня/липня 2021 р.) і вимкніть спулер друку на контролерах домену.
Корпорація Майкрософт випустила попередження про новий інструмент, який використовує пов’язана з Росією хакерська група для використання вразливості в програмному забезпеченні Windows Print Spooler. Була історія між російськими хакерами та Microsoft це та це.
Хакерська група, відома як Forest Blizzard (також відома як APT28, Sednit, Sofacy і Fancy Bear), з метою збору розвідувальної інформації атакувала урядові, енергетичні, транспортні та неурядові організації (НУО). Microsoft вважає, що Forest Blizzard пов’язана з російським розвідувальним управлінням ГРУ.
Новий інструмент під назвою GooseEgg використовує вразливість у службі Windows Print Spooler (CVE-2022-38028), щоб отримати привілейований доступ до скомпрометованих систем і викрасти облікові дані. Уразливість дозволяє GooseEgg змінювати файл JavaScript, а потім виконувати його з високими дозволами.
Служба Windows Print Spooler діє як посередник між вашими програмами та вашим принтером. Це програмне забезпечення, що працює у фоновому режимі та керує завданнями друку. Це забезпечує безперебійну роботу між програмами та принтером.
Корпорація Майкрософт рекомендує організаціям вжити кількох заходів, щоб захистити себе,
- Застосуйте оновлення безпеки для CVE-2022-38028 (11 жовтня 2022 р.) і попередніх уразливостей диспетчера друку (8 червня та 1 липня 2021 р.).
- Спробуйте вимкнути службу диспетчера друку на контролерах домену (не потрібно для роботи).
- Виконайте рекомендації щодо зміцнення облікових даних.
- Використовуйте функцію виявлення та відповіді кінцевої точки (EDR) із можливостями блокування.
- Увімкніть хмарний захист для антивірусного програмного забезпечення.
- Використовуйте правила зменшення поверхні атак Microsoft Defender XDR.
Антивірус Microsoft Defender виявляє GooseEgg як HackTool:Win64/GooseEgg
. Microsoft Defender for Endpoint і Microsoft Defender XDR також можуть виявляти підозрілу активність, пов’язану з розгортанням GooseEgg.
Залишаючись у курсі цих загроз і впроваджуючи рекомендовані заходи безпеки, організації можуть захистити себе від атак Forest Blizzard та інших зловмисників.
більше тут.