Microsoft cảnh báo hacker Nga nhắm vào Windows Print Spooler

Trang Chủ » Tin tức

Biểu tượng thời gian đọc 2 phút đọc

Biểu tượng lịch Được đăng trên

by Devesh Beri 

Được xuất bản trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

Ghi chú chính

  • Hacker Nga sử dụng công cụ mới (GooseEgg) để khai thác lỗ hổng Windows Print Spooler cũ
  • GooseEgg đánh cắp thông tin xác thực và cấp quyền truy cập cấp cao cho những kẻ tấn công.
  • Vá hệ thống của bạn (bản cập nhật từ tháng 2022 năm 2021 & tháng XNUMX/tháng XNUMX năm XNUMX) và cân nhắc việc tắt Bộ đệm máy in trên bộ điều khiển miền.

Microsoft đã đưa ra cảnh báo về một công cụ mới được một nhóm hack có liên quan đến Nga sử dụng để khai thác lỗ hổng trong phần mềm Windows Print Spooler. Đã có một lịch sử giữa tin tặc Nga và Microsoft với điều nàyđiều này.

Nhóm hack, được gọi là Forest Blizzard (còn được gọi là APT28, Sednit, Sofacy và Fancy Bear), đã nhắm mục tiêu vào các tổ chức chính phủ, năng lượng, giao thông vận tải và phi chính phủ (NGO) cho mục đích thu thập thông tin tình báo. Microsoft tin rằng Forest Blizzard có liên hệ với cơ quan tình báo GRU của Nga.

Công cụ mới có tên GooseEgg, khai thác lỗ hổng trong dịch vụ Windows Print Spooler (CVE-2022-38028) để giành quyền truy cập đặc quyền vào các hệ thống bị xâm nhập và đánh cắp thông tin xác thực. Lỗ hổng này cho phép GooseEgg sửa đổi tệp JavaScript và sau đó thực thi nó với quyền cao.

Dịch vụ Windows Print Spooler đóng vai trò trung gian giữa các ứng dụng và máy in của bạn. Đó là một chương trình phần mềm chạy nền để quản lý các lệnh in. Nó giúp mọi thứ hoạt động trơn tru giữa các chương trình và máy in của bạn.

Microsoft khuyến nghị các tổ chức nên thực hiện một số bước để tự bảo vệ mình, 

  • Áp dụng các bản cập nhật bảo mật cho CVE-2022-38028 (11 tháng 2022 năm 8) và các lỗ hổng Print Spooler trước đó (1 tháng 2021 & XNUMX tháng XNUMX năm XNUMX).
  • Hãy cân nhắc việc tắt dịch vụ Bộ đệm máy in trên bộ điều khiển miền (không cần thiết cho hoạt động).
  • Thực hiện các khuyến nghị tăng cường chứng chỉ.
  • Sử dụng Phát hiện và phản hồi điểm cuối (EDR) với khả năng chặn.
  • Kích hoạt tính năng bảo vệ do đám mây cung cấp cho phần mềm chống vi-rút.
  • Sử dụng các quy tắc giảm bề mặt tấn công XDR của Microsoft Defender.

Tính năng Chống vi-rút của Bộ bảo vệ Microsoft phát hiện GooseEgg là HackTool:Win64/GooseEgg. Bộ bảo vệ Microsoft dành cho Điểm cuối và Bộ bảo vệ Microsoft XDR cũng có thể xác định hoạt động đáng ngờ liên quan đến việc triển khai GooseEgg.

Bằng cách cập nhật thông tin về các mối đe dọa này và triển khai các biện pháp bảo mật được đề xuất, các tổ chức có thể giúp bảo vệ bản thân khỏi các cuộc tấn công của Forest Blizzard và các tác nhân độc hại khác.

Hơn tại đây.

Devesh Beri

Devesh Beri Lá chắn

Nhà báo công nghệ

Đây là những điều thúc đẩy tôi - tạo ra nội dung giàu thông tin và hữu ích, theo đuổi niềm đam mê đua xe thể thao và âm nhạc, tham gia các cuộc thám hiểm, duy trì lối sống lành mạnh và dành thời gian với chú mèo Taco đáng yêu của tôi.