Een ernstig beveiligingslek in de Windows Print Spooler-service, gemeld aan Microsoft door de Amerikaanse geheime dienst NSA, heeft geleid tot langdurige aanvallen, zo heeft het techbedrijf onthuld. Dit lek stelt aanvallers in staat om hun rechten te verhogen tot het hoogste niveau, SYSTEM, zodra ze al toegang hebben tot een systeem, waardoor ze volledige controle krijgen.
Microsoft heeft op 11 oktober 2022 een noodpatch uitgebracht voor deze kwetsbaarheid, aangeduid als CVE-2022-38028, en heeft de NSA bedankt voor het melden van het probleem. Volgens een recente analyse maakt een groep die in verband wordt gebracht met de Russische geheime dienst, bekend als APT28, Fancy Bear en Forest Blizzard, al sinds juni 2020 misbruik van dit beveiligingslek, mogelijk zelfs sinds april 2019.
Zodra de aanvallers toegang hebben tot een systeem, maken ze gebruik van het lek om hun rechten te verhogen en vervolgens inloggegevens te stelen, aldus Microsoft. Het bedrijf dringt er bij organisaties op aan om de patch voor CVE-2022-38028 zo snel mogelijk te installeren als dit nog niet is gebeurd. Verder adviseert Microsoft om de Windows Print Spooler-service uit te schakelen op domaincontrollers, aangezien deze service niet essentieel is voor de werking van de controller.