Atacatorii care utilizează Ransomware exploatează vulnerabilitățile Windows Spooler Print

Operatorii de ransomware precum Magniber și Vice Society exploatează în mod activ vulnerabilitățile din Windows Print Spooler pentru a compromite victimele și pentru a se răspândi în rețeaua unei victime pentru a implementa payload-uri de criptare pe sistemele vizate.

Mulți atacatori consideră această vulnerabilitate ca fiind atractivă și pot indica faptul că această va continua să fie exploatată pe scară largă, a declarat Cisco Talos într-un raport publicat.

În timp ce ransomware-ul Magniber a fost identificat pentru prima dată la sfârșitul anului 2017, în  Coreea de Sud prin campanii de publicitate, Vice Society este un nou malware care a apărut la mijlocul anului 2021, vizând în principal districtele școlare publice și alte instituții de învățământ.

Recent au apărut o serie de vulnerabilități PrintNightmare care afectează serviciul de Windows Print Spooler, care ar putea permite executarea RCE atunci când componenta efectuează operații cu fișiere privilegiate:

  • CVE-2021-1675 – Vulnerabilitate în Windows Print Spooler (remediată pe 8 iunie)
  • CVE-2021-34527 – Vulnerabilitate în Windows Print Spooler (remediată în perioada 6-7 iulie)
  • CVE-2021-34481 – Vulnerabilitate în Windows Print Spooler (remediată pe 10 august)
  • CVE-2021-36936 – Vulnerabilitate în Windows Print Spooler (remediată pe 10 august)
  • CVE-2021-36947 – Vulnerabilitate în Windows Print Spooler (remediată pe 10 august)
  • CVE-2021-34483 – Vulnerabilitate de escaladare a privilegiilor în Windows Print Spooler (remediată pe 10 august)
  • CVE-2021-36958 – Vulnerabilitate în Windows Print Spooler (fără patch)

CrowdStrike a menționat că a reușit să prevină cu succes atacurile care exploatează vulnerabilitatea PrintNightmare.

Vice Society, pe de altă parte, a folosit o varietate de tehnici pentru a ocoli protecțiile Windows și pentru a realiza furtul de credențiale și escaladarea privilegiilor.

Se crede că atacatorul a folosit o bibliotecă malițioasă asociată cu vulnerabilitatea PrintNightmare (CVE-2021-34527) pentru a rula pe mai multe sisteme și pentru a exfiltra credențialele victimei.

Cercetătorii au afirmat că atacatorii își perfecționează în mod constant modalitatea de lucru, deoarece se străduiesc să funcționeze mai eficient.

Sursa: https://thehackernews.com/2021/08/ransomware-gangs-exploiting-windows.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică