Windows 打印后台处理程序存在缺陷

美国网络安全机构 CISA 周二将一个已有两年历史的 Windows Print Spooler 漏洞添加到其已知可利用漏洞 (KEV) 目录中。

该问题被跟踪为 CVE-2022-38028（CVSS 评分为 7.8），并作为 Microsoft 2022 年 10 月补丁星期二更新的一部分得到解决，可利用该问题在易受攻击的计算机上获取系统权限。

CISA 在KEV目录中的条目中写道“Microsoft Windows Print Spooler 服务包含权限提升漏洞。攻击者可能会修改 JavaScript 约束文件并使用系统级权限执行它。”

根据约束性操作指令 (BOD) 22-01，联邦机构有三周的时间来识别其环境中易受 CVE-2022-38028 影响的任何系统，并应用可用补丁或删除易受攻击的产品。

尽管 BOD 22-01 仅适用于联邦机构，但 CISA 敦促所有组织尽快进行漏洞评估并解决 KEV 目录中的安全错误。

一天后，CISA 将 CVE-2022-38028 添加到其必须补丁列表中，此前微软报告称，一个名为 APT28 的俄罗斯网络间谍组织（被科技巨头森林暴雪追踪）一直在利用 CVE-2022-38028 对政府、非政府、教育机构进行攻击和运输组织。

作为观察到的攻击的一部分，高级持续威胁 (APT) 攻击者一直在部署一种名为 GooseEgg 的独特工具，该工具可以生成具有系统级权限的其他应用程序，从而为远程代码执行、后门部署和横向移动打开了大门。

据 Microsoft 称，APT28 还被发现利用其他 Print Spooler 漏洞进行 GooseEgg 部署，包括CVE-2023-23397以及追踪为 CVE-2021-34527 和 CVE-2021-1675 的PrintNightmare错误。

就 CVE-2022-38028 而言，在 Microsoft 发布有关 GooseEgg 攻击的博客文章之前，没有任何关于野外利用的报告。

这家科技巨头表示，这些攻击的主要目的是特权升级以及凭证和数据收集。

原文始发于微信公众号（祺印说信安）：Windows 打印后台处理程序存在缺陷