Ransomware-Banden nutzen Sicherheitslücken im Windows-Druckspooler aus

  • Ransomware-Betreiber wie Magniber und Vice Society nutzen aktiv Schwachstellen im Windows Print Spooler aus, um Opfer zu kompromittieren und sich seitlich über das Netzwerk des Opfers auszubreiten, um dateiverschlüsselnde Nutzdaten auf den Zielsystemen zu verteilen.

    “Mehrere unterschiedliche Bedrohungsakteure betrachten diese Schwachstelle als attraktiv für ihre Angriffe, was darauf hindeutet, dass diese Schwachstelle in Zukunft von verschiedenen Angreifern immer häufiger genutzt wird”, so Cisco Talos in einem am Donnerstag veröffentlichten Bericht, der eine unabhängige Analyse von CrowdStrike bestätigt, die Fälle von Magniber-Ransomware-Infektionen beobachtet hat, die auf Einrichtungen in Südkorea abzielten.

    [Blocked Image: https://thehackernews.com/images/-u_TFlX83-es/YMt1oTeur5I/AAAAAAAA4Q0/KR6i59vv_vIwmmg08UXTwO08_FGRyPjmQCLcBGAsYHQ/s300-e100/free-ad-9-300.png]

    Während die Ransomware Magniber erstmals Ende 2017 entdeckt wurde und über Malvertising-Kampagnen Opfer in Südkorea angriff, ist Vice Society ein Neueinsteiger, der Mitte 2021 in der Ransomware-Landschaft auftauchte und vor allem öffentliche Schulbezirke und andere Bildungseinrichtungen ins Visier nimmt. Die Angriffe sollen mindestens seit dem 13. Juli stattgefunden haben.

    Seit Juni wurde eine Reihe von “PrintNightmare”-Problemen bekannt, die den Windows-Druckspoolerdienst betreffen und die Remotecodeausführung ermöglichen können, wenn die Komponente privilegierte Dateioperationen durchführt.

    • CVE-2021-1675 – Windows Print Spooler – Sicherheitslücke bei Remotecodeausführung (gepatcht am 8. Juni)
    • CVE-2021-34527 – Windows Print Spooler – Sicherheitsanfälligkeit bei der Ausführung von Remotecode (gepatcht am 6./7. Juli)
    • CVE-2021-34481 – Windows Print Spooler – Sicherheitsanfälligkeit bei der Ausführung von Remotecode (gepatcht am 10. August)
    • CVE-2021-36936 – Windows Print Spooler – Sicherheitslücke bei der Ausführung von Remotecode (gepatcht am 10. August)
    • CVE-2021-36947 – Windows Print Spooler – Sicherheitslücke bei der Ausführung von Remotecode (gepatcht am 10. August)
    • CVE-2021-34483 – Windows Print Spooler Sicherheitsanfälligkeit durch Erhöhung der Privilegien (gepatcht am 10. August)
    • CVE-2021-36958 – Windows Print Spooler – Sicherheitsanfälligkeit bei der Remotecodeausführung (ungepatcht)

    CrowdStrike stellte fest, dass es in der Lage war, die Versuche der Magniber-Ransomware-Bande, die PrintNightmare-Schwachstelle auszunutzen, erfolgreich zu verhindern.

    [Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

    Vice Society hingegen nutzte eine Reihe von Techniken, um nach der Kompromittierung eine Entdeckung und Erkundung durchzuführen, bevor sie die systemeigenen Windows-Schutzmaßnahmen zum Diebstahl von Anmeldeinformationen und zur Ausweitung von Berechtigungen umging.

    [Blocked Image: https://thehackernews.com/images/-JlsTWIHVgX4/YRYltMOGBKI/AAAAAAAADhQ/pzUFIcW6y0ABjOe3PuUQE5cPSnEOvGP9ACLcBGAsYHQ/s728-e1000/ransomware.jpg]

    Es wird vermutet, dass der Angreifer eine bösartige Bibliothek im Zusammenhang mit der PrintNightmare-Schwachstelle (CVE-2021-34527) verwendet hat, um auf mehrere Systeme in der gesamten Umgebung zuzugreifen und Anmeldedaten des Opfers zu extrahieren.

    “Angreifer verfeinern ständig ihren Ansatz für den Lebenszyklus von Ransomware-Angriffen, da sie sich bemühen, effektiver, effizienter und ausweichender zu agieren”, so die Forscher. “Die Nutzung der als PrintNightmare bekannten Schwachstelle zeigt, dass die Angreifer sehr aufmerksam sind und neue Tools, die sie für verschiedene Zwecke nützlich finden, schnell in ihre Angriffe integrieren.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com