微软警告俄罗斯黑客瞄准Windows Print Spooler

微软发布警告称，与俄罗斯有关的黑客组织使用一种新工具来利用 Windows Print Spooler 软件中的漏洞。俄罗斯黑客与微软之间有一段历史 Free Introduction 和 Free Introduction.

该黑客组织名为 Forest Blizzard（也称为 APT28、Sednit、Sofacy 和 Fancy Bear），一直以政府、能源、交通和非政府组织 (NGO) 为目标进行情报收集。微软认为森林暴雪与俄罗斯 GRU 情报机构有联系。

这个名为 GooseEgg 的新工具利用 Windows Print Spooler 服务中的漏洞 (CVE-2022-38028) 来获得对受感染系统的特权访问并窃取凭据。该漏洞允许 GooseEgg 修改 JavaScript 文件，然后以高权限执行它。

Windows Print Spooler 服务充当应用程序和打印机之间的中间人。它是一个在后台运行的软件程序，用于管理打印作业。它可以让您的程序和打印机之间顺利运行。

微软建议组织采取多项措施来保护自己， 

• 应用 CVE-2022-38028（11 年 2022 月 8 日）和之前的打印后台处理程序漏洞（1 年 2021 月 XNUMX 日和 XNUMX 月 XNUMX 日）的安全更新。
• 考虑禁用域控制器上的打印后台处理程序服务（操作不需要）。
• 实施凭据强化建议。
• 使用具有阻止功能的端点检测和响应 (EDR)。
• 为防病毒软件启用云提供的保护。
• 利用 Microsoft Defender XDR 攻击面减少规则。

Microsoft Defender 防病毒软件将 GooseEgg 检测为 HackTool:Win64/GooseEgg。 Microsoft Defender for Endpoint 和 Microsoft Defender XDR 还可以识别与 GooseEgg 部署相关的可疑活动。

通过随时了解这些威胁并实施建议的安全措施，组织可以帮助保护自己免受 Forest Blizzard 和其他恶意行为者的攻击。

更多 此处.