Microsoft dice que piratas informáticos rusos aprovechan la vulnerabilidad de la cola de impresión de Windows
NurPhoto a través de Getty Images
Los investigadores de Microsoft Threat Intelligence han emitido una advertencia de que los piratas informáticos patrocinados por el estado ruso han estado apuntando a los usuarios de Windows con una herramienta personalizada utilizada para robar credenciales e incluso instalar puertas traseras.
APT28 Fancy Bear Hackers detrás de los ataques a Windows recientemente reportados
Se sabe que los piratas informáticos, más comúnmente identificados como APT28 o Fancy Bear pero rastreados por Microsoft como Forest Blizzard, están afiliados a la Unidad Militar 26165, que forma parte de la agencia de inteligencia militar rusa GRU.
Microsoft dijo que ha visto a Forest Blizzard/APT 28 utilizar la herramienta de post-explotación, denominada GooseEgg, contra organizaciones gubernamentales, del sector educativo y del transporte en Estados Unidos, Europa occidental y Ucrania. “Forest Blizzard se centra principalmente en objetivos de inteligencia estratégica”. microsoft dijo. Parece, dijeron los analistas de inteligencia de Microsoft, que APT28 ha estado usando GooseEgg desde al menos junio de 2020 y muy posiblemente ya en abril de 2019.
MÁS DE FORBESYubico emite alerta de seguridad de YubiKey Manager para usuarios de WindowsPor Davey Winder
Las vulnerabilidades de Windows sin parches constituyen un huevo de oro para el exploit
Lo que, en esencia, parece ser una aplicación de inicio relativamente simple, GooseEgg, es en realidad una herramienta muy peligrosa en manos de atacantes que están explotando una vulnerabilidad parcheada hace mucho tiempo en el servicio Windows Print Spooler. La vulnerabilidad en cuestión, CVE-2022-38028, se solucionó como parte del lanzamiento del martes de parches de octubre de 2022, y fue informada por primera vez por la Agencia de Seguridad Nacional. GooseEgg explota una vulnerabilidad no parcheada “modificando un archivo de restricciones de JavaScript y ejecutándolo con permisos a nivel de SISTEMA”, dijo Microsoft. La medida en que GooseEgg puede ayudar a los hackers rusos quedó al descubierto en el informe de Microsoft Threat Intelligence: “GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como acceso remoto. ejecución de código, instalación de una puerta trasera y movimiento lateral a través de redes comprometidas”.
MÁS DE FORBESSorpresa de seguridad de Windows cuando Microsoft confirma 90 nuevas vulnerabilidadesPor Davey Winder
Cómo mitigar los ataques de GooseEgg
Una vez más, esta activa campaña de ciberespionaje por parte de piratas informáticos patrocinados por el Estado destaca la importancia de corregir las vulnerabilidades lo antes posible. Además de la vulnerabilidad CVE-2022-38028 de Windows Print Spooler, GooseEgg también se puede utilizar junto con exploits para PrintNightmare, que se reveló por primera vez en 2021. Las vulnerabilidades adicionales que se sabe que fueron atacadas por los piratas informáticos de APT28 incluyen CVE-2023-23397, CVE -2021-34527 y CVE-2021-1675.
Microsoft insta a las organizaciones y usuarios a aplicar la actualización de seguridad CVE-2022-38028 para mitigar este ataque. Observa que Microsoft Defender Antivirus detecta la capacidad específica de Forest Blizzard como HackTool:Win64/GooseEgg.
2024-04-26 13:41:00
1714140743
#Microsoft #advierte #los #usuarios #Windows #sobre #actual #ataque #piratería #ruso
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/K4RB2KC2F5BI5OPGY2YCXVCGRE.jpg?fit=300%2C300&ssl=1)
:quality(70):focal(1598x702:1608x712)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/D4IIKUII7JC7VLKBXTLK4LORZU.jpg?fit=300%2C300&ssl=1)
