Des hackers utilisent PrintNightmare pour pirater les serveurs Windows

0

Les opérateurs de ransomware ont ajouté les exploits PrintNightmare à leur arsenal et ciblent les serveurs Windows pour déployer les charges utiles du ransomware Magniber.

PrintNightmare est une classe de vulnérabilités de sécurité (identifiées comme CVE-2021-1675, CVE-2021-34527 et CVE-2021-36958) affectant le service Windows Print Spooler, les pilotes d’impression Windows et la fonctionnalité Pointer et Imprimer de Windows.

Microsoft a publié des mises à jour de sécurité pour traiter CVE-2021-1675 et CVE-2021-34527 en Juin, Juillet et Août.

La société a également publié un avis de sécurité fournissant une solution de contournement pour CVE-2021-36958 (un bogue zero-day permettant une élévation des privilèges, sans correctif disponible).

Les pirates informatiques peuvent utiliser ces failles de sécurité dans l’élévation des privilèges locaux (LPE) ou distribuer des logiciels malveillants en tant qu’administrateurs de domaine Windows via l’exécution de code à distance avec des privilèges SYSTEM.

Le ransomware utilise désormais les exploits PrintNightmare

Et, comme les chercheurs de Crowdstrike l’ont découvert le mois dernier, le gang de ransomware Magniber utilise désormais les exploits PrintNightmare à ces fins précises dans les attaques contre les victimes sud-coréennes.

« Le 13 juillet, CrowdStrike a détecté et empêché avec succès les tentatives d’exploitation de la vulnérabilité PrintNightmare, protégeant ainsi les clients avant tout cryptage », a déclaré Liviu Arsene, directeur de la recherche et du reporting sur les menaces chez Crowdstrike.

Après avoir compromis des serveurs non corrigés contre PrintNightmare, Magniber supprime un chargeur de DLL obscurci, qui est d’abord injecté dans un processus, puis décompressé pour effectuer une traversée des fichiers locaux et crypter les fichiers sur le périphérique compromis.

Début février 2021, Crowdstrike a observé que Magniber était livré via Magnitude EK sur des appareils sud-coréens exécutant Internet Explorer sans correctif contre la vulnérabilité CVE-2020-0968.

Le ransomware Magniber est actif depuis octobre 2017, lorsqu’il était déployé par le biais de publicités malveillantes à l’aide de l’Exploit Kit (EK) de Magnitude en tant que successeur du ransomware Cerber.

Alors qu’il se concentrait initialement sur les victimes sud-coréennes, le gang Magniber a rapidement étendu ses opérations dans le monde entier, déplaçant ses cibles vers d’autres pays, notamment la Chine, Taïwan, Hong Kong, Singapour, la Malaisie, etc.

Magniber a été étonnamment actif au cours des 30 derniers jours, avec près de 600 soumissions sur la plate-forme ID Ransomware.

magniber
Soumissions de ransomware Magniber (ID Ransomware)

Plus de groupes de menaces devraient ajouter PrintNightmare à leurs arsenaux

Pour le moment, nous n’avons que des preuves que le gang de ransomware Magniber utilise des exploits PrintNightmware dans la nature pour cibler des victimes potentielles.

Cependant, d’autres attaquants (y compris des groupes de ransomware) se joindront probablement (s’ils ne l’ont pas déjà fait), car d’autres rapports d’exploitation sauvage de PrintNightmare [1, 2, 3] ont fait surface depuis que la vulnérabilité a été signalée et des exploits de preuve de concept ont été divulgués.

« CrowdStrike estime que la vulnérabilité PrintNightmare associée au déploiement de ransomware continuera probablement à être exploitée par d’autres pirates informatiques », a conclu Arsene.

Pour vous défendre contre les attaques qui pourraient cibler votre réseau, il est conseillé d’appliquer les correctifs disponibles dès que possible et de mettre en œuvre les solutions de contournement fournies par Microsoft pour supprimer le vecteur d’attaque si une mise à jour de sécurité n’est pas encore disponible.

Le 13 juillet, la CISA a publié une directive d’urgence ordonnant aux agences fédérales d’atténuer la vulnérabilité PrintNightmare activement exploitée sur leurs réseaux.

L’agence de cybersécurité a également publié une alerte PrintNightmare le 1er juillet, encourageant les professionnels de la sécurité à désactiver le service Windows Print Spooler sur tous les systèmes non utilisés pour l’impression.

Laisser un commentaire