Microsoft: zerodaylek in Windows Print Spooler jarenlang gebruikt bij aanvallen

[Captain Kirk]

Een zerodaylek in de Windows Print Spooler-service, dat door de Amerikaanse geheime dienst NSA aan Microsoft werd gerapporteerd, is jarenlang gebruikt bij aanvallen, aldus het techbedrijf. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen tot het SYSTEM-niveau, waarmee volledige controle over het systeem wordt verkregen.

Microsoft kwam op 11 oktober 2022 met een beveiligingsupdate voor de kwetsbaarheid, aangeduid als CVE-2022-38028. Het techbedrijf bedankte destijds de NSA voor het rapporteren van het probleem. In een nieuwe analyse meldt Microsoft dat een aan de Russische geheime dienst gelieerde groep die wordt aangeduid als APT28, Fancy Bear en Forest Blizzard, sinds juni 2020 misbruik van het beveiligingslek maakt en dit mogelijk al sinds april 2019 doet.

Zodra de aanvallers toegang tot een systeem hebben misbruiken ze de kwetsbaarheid om hun rechten te verhogen en vervolgens inloggegevens te stelen, aldus Microsoft. Het techbedrijf roept organisaties op om de kwetsbaarheid voor CVE-2022-38028 zo snel mogelijk te installeren als dat nog niet is gedaan. Verder adviseert Microsoft het uitschakelen van de Windows Print Spooler-service op domaincontrollers, omdat deze service niet vereist is voor het functioneren van de controller.

 

bron: https://www.security.nl