微軟警告俄羅斯駭客瞄準Windows Print Spooler

微軟發布警告稱，與俄羅斯有關的駭客組織使用一種新工具來利用 Windows Print Spooler 軟體中的漏洞。俄羅斯駭客與微軟之間有一段歷史 Free Introduction 和 Free Introduction .

該駭客組織名為 Forest Blizzard（也稱為 APT28、Sednit、Sofacy 和 Fancy Bear），一直以政府、能源、交通和非政府組織 (NGO) 為目標進行情報收集。微軟認為森林暴雪與俄羅斯 GRU 情報機構有聯繫。

這個名為 GooseEgg 的新工具利用 Windows Print Spooler 服務中的漏洞 (CVE-2022-38028) 來獲得對受感染系統的特權存取並竊取憑證。該漏洞允許 GooseEgg 修改 JavaScript 文件，然後以高權限執行它。

Windows Print Spooler 服務可作為應用程式和印表機之間的中間人。它是一個在背景運行的軟體程序，用於管理列印作業。它可以讓您的程式和印表機之間順利運作。

微軟建議組織採取多項措施來保護自己， 

• 應用 CVE-2022-38028（11 年 2022 月 8 日）和先前的列印後台處理程序漏洞（1 年 2021 月 XNUMX 日和 XNUMX 月 XNUMX 日）的安全性更新。
• 考慮停用網域控制站上的列印後台處理程序服務（操作不需要）。
• 實施憑證強化建議。
• 使用具有阻止功能的端點偵測和回應 (EDR)。
• 為防毒軟體啟用雲端提供的保護。
• 利用 Microsoft Defender XDR 攻擊面減少規則。

Microsoft Defender 防毒軟體將 GooseEgg 偵測為 HackTool:Win64/GooseEgg。 Microsoft Defender for Endpoint 和 Microsoft Defender XDR 還可以識別與 GooseEgg 部署相關的可疑活動。

透過隨時了解這些威脅並實施建議的安全措施，組織可以協助保護自己免受 Forest Blizzard 和其他惡意行為者的攻擊。

更多 点击這裡.