美国网络安全机构 CISA 周二将一个已有两年历史的 Windows Print Spooler 漏洞添加到其已知可利用漏洞 (KEV) 目录中。
该问题被跟踪为 CVE-2022-38028(CVSS 评分为 7.8),并作为 Microsoft 2022 年 10 月补丁星期二更新的一部分得到解决,可利用该问题在易受攻击的计算机上获取系统权限。
CISA 在KEV目录中的条目中写道“Microsoft Windows Print Spooler 服务包含权限提升漏洞。攻击者可能会修改 JavaScript 约束文件并使用系统级权限执行它。”
根据约束性操作指令 (BOD) 22-01,联邦机构有三周的时间来识别其环境中易受 CVE-2022-38028 影响的任何系统,并应用可用补丁或删除易受攻击的产品。
尽管 BOD 22-01 仅适用于联邦机构,但 CISA 敦促所有组织尽快进行漏洞评估并解决 KEV 目录中的安全错误。
一天后,CISA 将 CVE-2022-38028 添加到其必须补丁列表中,此前微软报告称,一个名为 APT28 的俄罗斯网络间谍组织(被科技巨头森林暴雪追踪)一直在利用 CVE-2022-38028 对政府、非政府、教育机构进行攻击和运输组织。
作为观察到的攻击的一部分,高级持续威胁 (APT) 攻击者一直在部署一种名为 GooseEgg 的独特工具,该工具可以生成具有系统级权限的其他应用程序,从而为远程代码执行、后门部署和横向移动打开了大门。
据 Microsoft 称,APT28 还被发现利用其他 Print Spooler 漏洞进行 GooseEgg 部署,包括CVE-2023-23397以及追踪为 CVE-2021-34527 和 CVE-2021-1675 的PrintNightmare错误。
就 CVE-2022-38028 而言,在 Microsoft 发布有关 GooseEgg 攻击的博客文章之前,没有任何关于野外利用的报告。
这家科技巨头表示,这些攻击的主要目的是特权升级以及凭证和数据收集。
原文始发于微信公众号(祺印说信安):Windows 打印后台处理程序存在缺陷
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论