Los grupos de ramsoware han adoptado exploits para PrintNightmare

Los expertos en seguridad han notado que los operadores de ransomware han agregado exploits a su arsenal para los problemas de PrintNightmare y los están utilizando para implementar cargas útiles del ransomware Magniber.

Microsoft: Windows PrintNightmare vulnerability is being actively exploited  - SlashGear

El nombre PrintNightmare combina toda una clase de vulnerabilidades ( CVE-2021-1675 , CVE-2021-34527 y CVE-2021-36958 ) que afectan el servicio Windows Print Spooler, los controladores de impresión y la funcionalidad de Windows Point and Print.

Microsoft ya lanzó parches para CVE-2021-1675 y CVE-2021-34527 en julio y agosto de este año, pero los investigadores encontraron que los problemas aún no están completamente resueltos y los atacantes aún pueden obtener privilegios de nivel de sistema simplemente conectándose a servidor de impresión remoto. A este problema se le ha asignado recientemente el ID CVE-2021-36958.

Crowdstrike ahora informa que los piratas informáticos pusieron en servicio los problemas de PrintNightmare el mes pasado. Las vulnerabilidades son explotadas por al menos un grupo de piratas informáticos detrás del ransomware Magniber, que utiliza exploits PrintNightmare contra las víctimas de Corea del Sur.

Después de comprometer los servidores que no tienen instalados los parches PrintNightmare, Magniber utiliza un cargador de DLL ofuscado, que primero se inyecta en el proceso y luego se desempaqueta para realizar un recorrido de archivo local y cifrar archivos en el dispositivo comprometido.

Si bien los expertos creen que solo Magniber utiliza exploits para PrintNightmware para sus ataques, esperan que otros grupos de piratas informáticos, especialmente los desarrolladores de ransomware, pronto se aprovechen de las vulnerabilidades.

Fuente:https://xakep.ru/

Comments are closed.