Kaspersky фиксирует рост числа атак через Windows Print Spooler

Kaspersky фиксирует рост числа атак через Windows Print Spooler

Kaspersky фиксирует рост числа атак через Windows Print Spooler

В период с июля 2021 года по апрель 2022-го эксперты «Лаборатории Касперского» насчитали около 65 тыс. атак с использованием уязвимостей в диспетчере очереди печати Windows. Почти половина из них (31 тыс.) были зарегистрированы в течение последних четырех месяцев.

Чаще всего такие инциденты происходили в Италии, Турции и Южной Корее. В период с января по апрель повышенная эксплойт-активность, связанная с Windows Print Spooler, наблюдалась в Австрии, Франции и Словении.

В основном злоумышленники пытаются использовать уязвимости службы печати, найденные за последний год. Наиболее известны из них CVE-2021-1675 и CVE-2021-34527 (PrintNightmare) — Microsoft боролась с ними прошлым летом, пытаясь минимизировать ущерб, причиненный публикацией PoC-эксплойтов.

В апреле объявилась CVE-2022-22718, которая тоже позволяла получить доступ к корпоративным ресурсам. По данным Kaspersky, атаки через уязвимости в Windows Print Spooler были в основном нацелены на кражу данных, в том числе с помощью специализированных зловредов. Эксплойт также открывал возможность для внедрения в сеть других вредоносных программ — например, шифровальщиков.

Защититься от атак через Windows Print Spooler, по мнению экспертов, помогут следующие рекомендации:

  • устанавливать патчи по мере выхода и в кратчайшие сроки;
  • регулярно проверять защищенность ИТ-инфраструктуры;
  • установить спецзащиту от фишинга на конечных точках и почтовых серверах — для снижения риска заражения;
  • использовать средства защиты от сложных атак, способные обнаружить и устранить угрозу на ранней стадии (EDR, системы защиты от APT-атак, спецуслуги);
  • предоставить работникам SOC-центра доступ к актуальной информации об угрозах, регулярно проводить для них тренинги.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Первая в России платформа оценки кибербезопасности поставщиков

Компания CICADA8 запустила первую в России интерактивную платформу по оценке кибербезопасности поставщиков — CICADA8 CyberRating. Решение класса TPRA позволяет в реальном времени проводить оценку уровня защищённости контрагентов, партнёров и дочерних организаций.

Платформа собирает данные из открытых источников, анализирует десятки параметров и формирует рейтинг защищённости, который актуализируется в режиме реального времени.

Такой подход позволяет службам ИТ и ИБ выявлять риски при взаимодействии с третьими лицами и минимизировать вероятность атак через цепочку поставок, а руководителям бизнеса — принимать обоснованные решения при выборе контрагентов.

CICADA8 CyberRating формирует рейтинг кибербезопасности на основе независимой оценки организаций по трём критериям: наличие уязвимостей на ИТ-периметре (Vulnerability Rating), репутация активов, расположенных на внешнем периметре (Network Rating), и наличие утечек баз данных, ассоциированных с данной компанией (Leaks Rating).

Компаниям предлагается бесплатно проверить до трёх организаций в рамках пилотного периода. Подробнее о решении можно узнать на официальном сайте CICADA8.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru