Hackers χρησιμοποιούν PrintNightmare για να χακάρουν Windows servers
PrintNightmare Windows servers:
Οι hackers που επιδίδονται σε
ransomware
επιθέσεις
έχουν προσθέσει PrintNightmare exploits στο οπλοστάσιό τους και στοχεύουν Windows servers για την
ανάπτυξη
Magniber ransomware payloads.
Το PrintNightmare είναι μια κατηγορία τρωτών σημείων
ασφαλείας
(παρακολουθείται ως CVE-2021-1675, CVE-2021-34527 και CVE-2021-36958)
που επηρεάζει την
υπηρεσία
Windows Print Spooler
, τα Windows print drivers και τα Windows Point και Print features.
Η Microsoft κυκλοφόρησε
ενημερώσεις
ασφαλείας
για τα CVE-2021-1675 και CVE-2021-34527 τον Ιούνιο, τον Ιούλιο και τον Αύγουστο.
Δείτε Ακόμα:
Patch Tuesday
Αύγουστος
2021 Fixed 44
ευπάθειες
και το Print Spooler
PrintNightmare Windows servers
Επίσης, την Τετάρτη κυκλοφόρησε ένα security advisory παρέχοντας λύση για το CVE-2021-36958 (zero-day bug που επιτρέπει κλιμάκωση προνομίων, χωρίς διαθέσιμο ενημερωμένο κώδικα).
Οι hackers μπορούν να χρησιμοποιήσουν αυτά τα ελαττώματα
ασφαλείας
για local privilege escalation (LPE) ή να διανείμουν κακόβουλο λογισμικό ως Windows domain admins μέσω απομακρυσμένης εκτέλεσης κώδικα (RCE) με SYSTEM privileges.
Δείτε Ακόμα:
Microsoft: Προειδοποιεί για νέα
ευπάθεια
στο
Windows Print Spooler
Το Ransomware χρησιμοποιεί PrintNightmare exploits
Όπως ανακάλυψαν ερευνητές της Crowdstrike τον περασμένο μήνα, οι hackers που επιτίθενται με Magniber ransomware χρησιμοποιούν PrintNightmare exploits σε
επιθέσεις
εναντίον θυμάτων της Νότιας Κορέας.
Μετά την
παραβίαση
διακομιστών που δεν έχουν δεχτεί κατάλληλο patch για το PrintNightmare, το Magniber ρίχνει έναν DLL loader, ο οποίος αρχικά εγχέεται σε μια διαδικασία και αργότερα αποσυσκευάζεται για την εκτέλεση τοπικού αρχείου και
κρυπτογράφηση
αρχείων στη συσκευή που έχει παραβιαστεί.
PrintNightmare Windows servers
Στις αρχές Φεβρουαρίου 2021, η Crowdstrike παρατήρησε ότι το Magniber παραδίδεται μέσω του Magnitude EK σε
συσκευές
της Νότιας Κορέας που εκτελούν
Internet Explorer
που δεν έχουν γίνει patched έναντι της ευπάθειας CVE-2020-0968.
Το Magniber ransomware είναι ενεργό από τον Οκτώβριο του 2017, όταν αναπτύχθηκε μέσω κακόβουλης χρήσης χρησιμοποιώντας το Magnitude Exploit Kit (EK) ως διάδοχο του ransomware Cerber.
Ενώ αρχικά επικεντρώθηκε στα θύματα της Νότιας Κορέας, η
συμμορία
Magniber επέκτεινε σύντομα τις δραστηριότητές της παγκοσμίως, αλλάζοντας στόχους σε άλλες χώρες, όπως η Κίνα, η Ταϊβάν, το Χονγκ Κονγκ, η Σιγκαπούρη, η Μαλαισία και άλλα.
Περισσότερες
hacking ομάδες
αναμένεται να προσθέσουν το PrintNightmare στα οπλοστάσια τους.
Δείτε Ακόμα:
PrintNightmare bug Έκτακτη
ενημέρωση
ασφαλείας
για τα Windows
συστήματα
PrintNightmare Windows servers
Προς το παρόν έχουμε μόνο στοιχεία ότι η
hacking ομάδα
που χρησιμοποιεί το Magniber χρησιμοποιεί PrintNightmware exploits για να στοχεύσει πιθανά θύματα. Η CrowdStrike εκτιμά ότι η
ευπάθεια
PrintNightmare σε συνδυασμό με την
ανάπτυξη
ransomware πιθανότατα θα συνεχίσει να αποτελεί όπλο στα χέρια hackers.
Για να προστατευτείτε από
επιθέσεις
που ενδέχεται να στοχεύουν στο δίκτυό σας, σας συνιστούμε να εφαρμόσετε το συντομότερο δυνατό οποιοδήποτε διαθέσιμο patch και να εφαρμόσετε
εναλλακτικές
λύσεις που παρέχονται από τη Microsoft για να αφαιρέσετε το κενό
ασφαλείας
, εάν δεν υπάρχει ακόμη διαθέσιμη
ενημέρωση
ασφαλείας
.
Δείτε Ακόμα:
Antivirus software Σας προστατεύει από την απειλή του ransomware;
Στις 13 Ιουλίου, η CISA εξέδωσε οδηγία έκτακτης ανάγκης που διατάσσει τις ομοσπονδιακές
υπηρεσίες
να μετριάσουν την ευάλωτη
ενέργεια
του PrintNightmare στα δίκτυα τους.
Η
υπηρεσία
κυβερνοασφάλειας δημοσίευσε επίσης μια
ειδοποίηση
σχετικά με το PrintNightmare την 1η Ιουλίου, ενθαρρύνοντας τους επαγγελματίες
ασφαλείας
να απενεργοποιήσουν την
υπηρεσία
Windows Print Spooler
σε όλα τα
συστήματα
που δεν χρησιμοποιούνται για εκτύπωση.
Με πληροφορίες από το bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.