Russische Hacker nutzen alten Windows Print Spooler-Bug aus
Anfang 2024 hat Microsoft bekannt gegeben, dass eine vermutlich von Russland gesponserte Hackergruppe Zugang zu den E-Mail-Konten einiger Top-Führungskräfte des Unternehmens erhalten hatte. Jetzt hat Microsoft einen weiteren russischen Angreifer entdeckt.
In einem Beitrag auf der Microsoft-Security-Website erklärte das Unternehmen, dass die fragliche Gruppe als Forest Blizzard bezeichnet wird und mindestens seit 2010 aktiv ist. Diese Hacker haben es sowohl auf staatliche als auch auf nicht staatliche Netzwerke in den USA, Europa und im Nahen Osten abgesehen.
Bei den jetzt bekannt gewordenen Bemühungen von Forest Blizzard hat sich die Gruppe eine Schwachstelle zunutze gemacht, die Teil des Windows Print Spooler-Dienstes war. Die offizielle Bezeichnung für die Sicherheitslücke lautet CVE-2022-38028, sie stammt als bereits aus dem Jahr 2022.
Laut Microsoft hat Forest Blizzard Netzwerke durchsucht, die für diese Schwachstelle anfällig waren und schleuste dann ein Schadprogramm mit der Bezeichnung GooseEgg (Gänseei) ein.
Microsoft erläutert: "Obwohl es sich bei GooseEgg um eine einfache Startanwendung handelt, ist es in der Lage, andere Anwendungen zu starten, die in der Befehlszeile mit erweiterten Berechtigungen angegeben werden, sodass Bedrohungsakteure weitere Ziele verfolgen können, wie z. B. die Ausführung von Remote-Code, die Installation einer Hintertür und die seitliche Bewegung durch kompromittierte Netzwerke."
Forest Blizzard soll GooseEgg verwendet haben, um sich Zugang zu Netzwerken in Nordamerika, der Ukraine und Westeuropa zu verschaffen und Daten zu erbeuten. Auch diese Aktivitäten dauern bereits seit vier Jahren an. Die Enthüllung der Verwendung dieses Tools durch sei für Microsoft "eine einzigartige Entdeckung, die zuvor nicht von Sicherheitsanbietern gemeldet wurde".
In dem Blog wird bislang nicht erwähnt, wie erfolgreich die Gruppe mit GooseEgg bei der Kompromittierung von Netzwerken und dem Diebstahl von Daten war. Microsoft hat das Problem mit dem Windows Print Spooler-Dienst im Oktober 2022 behoben, aber es gibt noch immer ungeschützte Netzwerke.
Siehe auch:
Hackergruppe mit Sitz in Russland entdeckt
Denn wie der Konzern jetzt mitteilt, wurde durch das Microsoft Threat Intelligence-Sicherheitsteam eine weitere Hackergruppe mit Sitz in Russland entdeckt, die eine alte Sicherheitslücke in einem Windows-Tool ausnutzt, um auf Netzwerke in aller Welt zuzugreifen und Informationen zu stehlen.In einem Beitrag auf der Microsoft-Security-Website erklärte das Unternehmen, dass die fragliche Gruppe als Forest Blizzard bezeichnet wird und mindestens seit 2010 aktiv ist. Diese Hacker haben es sowohl auf staatliche als auch auf nicht staatliche Netzwerke in den USA, Europa und im Nahen Osten abgesehen.
Bei den jetzt bekannt gewordenen Bemühungen von Forest Blizzard hat sich die Gruppe eine Schwachstelle zunutze gemacht, die Teil des Windows Print Spooler-Dienstes war. Die offizielle Bezeichnung für die Sicherheitslücke lautet CVE-2022-38028, sie stammt als bereits aus dem Jahr 2022.
Laut Microsoft hat Forest Blizzard Netzwerke durchsucht, die für diese Schwachstelle anfällig waren und schleuste dann ein Schadprogramm mit der Bezeichnung GooseEgg (Gänseei) ein.
Microsoft erläutert: "Obwohl es sich bei GooseEgg um eine einfache Startanwendung handelt, ist es in der Lage, andere Anwendungen zu starten, die in der Befehlszeile mit erweiterten Berechtigungen angegeben werden, sodass Bedrohungsakteure weitere Ziele verfolgen können, wie z. B. die Ausführung von Remote-Code, die Installation einer Hintertür und die seitliche Bewegung durch kompromittierte Netzwerke."
Forest Blizzard soll GooseEgg verwendet haben, um sich Zugang zu Netzwerken in Nordamerika, der Ukraine und Westeuropa zu verschaffen und Daten zu erbeuten. Auch diese Aktivitäten dauern bereits seit vier Jahren an. Die Enthüllung der Verwendung dieses Tools durch sei für Microsoft "eine einzigartige Entdeckung, die zuvor nicht von Sicherheitsanbietern gemeldet wurde".
In dem Blog wird bislang nicht erwähnt, wie erfolgreich die Gruppe mit GooseEgg bei der Kompromittierung von Netzwerken und dem Diebstahl von Daten war. Microsoft hat das Problem mit dem Windows Print Spooler-Dienst im Oktober 2022 behoben, aber es gibt noch immer ungeschützte Netzwerke.
Zusammenfassung
- Microsoft entdeckte russische Hackergruppe Forest Blizzard
- Gruppe nutzt alte Sicherheitslücke im Windows Print Spooler
- CVE-2022-38028 ermöglicht Zugriff und Diebstahl von Daten
- Hackergruppe aktiv seit 2010, zielt auf globale Netzwerke
- Eingesetztes Schadprogramm GooseEgg erlaubt weitere Angriffe
- Ziele umfassen staatliche und nicht staatliche Einrichtungen
- Sicherheitslücke wurde von Microsoft im Oktober 2022 behoben
Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen