Windows Print Spooler уязвимость PrintNightmare XDR
Если пользователь недавно использовал диспетчер очереди печати Windows, он может стать жертвой взлома.
Если пользователь недавно использовал диспетчер очереди печати Windows, он может стать жертвой взлома.
Согласно новому отчету компании Kaspersky , в период с июля 2021 по апрель 2022 года киберпреступники провели около 65 000 атак с помощью приложения Windows Print Spooler . Кроме того, 31 000 нападений была совершена в первой половине 2022 года. Диспетчер очереди печати используется для управления процессом печати и из-за многочисленных уязвимостей стал целью киберпреступников.
Уязвимости CVE-2021-1675 и CVE-2021-34527 (также известные как PrintNightmare ) были обнаружены из необычного источника, поскольку они были ошибочно опубликованы в качестве доказательства концепции (Proof of concept, PoC) на GitHub для выявления уязвимостей приложения. Пользователи обнаружили ряд серьезных пробелов в приложении. По словам Kaspersky, в прошлом месяце была обнаружена еще одна критическая уязвимость, вызвавшая атаки с помощью получения доступа киберпреступником к корпоративным ресурсам.
После выявления ошибок Microsoft выпустила исправление для остановки атак с PrintNightmare и недавно обнаруженным эксплойтом, но некоторые жертвы атаки не смогли загрузить и внедрить исправление.
«Уязвимости Windows Print Spooler являются распространителями возникающих новых угроз», — сказал исследователь безопасности Kaspersky Алексей Кулаев.
«Мы ожидаем растущего числа попыток получения доступа к ресурсам в корпоративных сетях, сопровождающихся высоким риском заражения вредоносным ПО и кражи данных. С помощью некоторых из этих уязвимостей злоумышленник может получить доступ не только к данным жертв, но и ко всему корпоративному серверу. Поэтому пользователям настоятельно рекомендуется следовать рекомендациям корпорации Microsoft и применять последние обновления для системы безопасности Windows», — добавил Кулаев.
С июля 2021 по апрель 2022 года почти четверть обнаруженных обращений поступила из Италии. Также наиболее активно были атакованы пользователи в Турции и Южной Корее, а за последние четыре месяца атакам были подвержены пользователи в Австрии, Франции и Словении.
Для защиты системы Kaspersky рекомендует пользователям несколько мер безопасности:
Часто устанавливать исправления для новых уязвимостей по мере их появления;
Проводить регулярный аудит безопасности IT-инфраструктуры организации;
спользовать решения для защиты конечных точек и почтовых серверов с возможностями защиты от фишинга;
Использовать специальные сервисы для борьбы с крупными атаками;
Установить Anti-APT (Advanced Persistent Threat) решения и EDR (Endpoint Detection and Response) для обнаружения и предотвращения угроз
По словам Kaspersky, наилучшим решением является проверка исправлений всех системных уязвимостей. Также необходимо всегда иметь актуальную систему безопасности конечных точек и использовать модель нулевого доверия Zero Trust .