Vulnerabilidade PrintNightmare transformada em arma por Hackers

16/08/2021 mindsecblog Notícias 3

Vulnerabilidade PrintNightmare transformada em arma por Hackers. Existem cerca de 10 variantes da vulnerabilidade que podem ser exploradas por atacantes.

Os operadores do ransomware Magniber transformaram a vulnerabilidade PrintNightmare em uma arma e agora estão tentando violar os sistemas Windows na Coreia do Sul.

Em um relatório publicado pela empresa de segurança CrowdStrike diz que eles observaram recentemente uma nova atividade relacionada a uma família de ransomware de 2017, conhecida como Magniber, usando a vulnerabilidade PrintNighmare em vítimas na Coreia do Sul. Em 13 de julho, o CrowdStrike detectou e impediu com sucesso as tentativas de explorar a vulnerabilidade PrintNightmare, protegendo os clientes antes que qualquer criptografia ocorra.

Quando a vulnerabilidade PrintNighmare ( CVE-2021-34527 ) foi divulgada, a inteligência CrowdStrike avaliou que a vulnerabilidade provavelmente será usada por agentes de ameaça, pois permitiu a possível execução remota de código (RCE) e escalonamento de privilégio local (LPE).

Qual PrintNightmare é esse?

Embora várias vulnerabilidades diferentes no serviço Windows Print Spooler sejam coletivamente chamadas de PrintNightmare, CrowdStrike disse que os invasores transformaram o CVE-2021-34527 em uma arma .

Este é um dos dois bugs originais do PrintNightmare que iniciaram toda essa série de vulnerabilidades, que agora está se aproximando de cerca de 10 problemas diferentes.

Inicialmente rastreado como CVE-2021-1675, após pesquisadores publicarem um código de prova de conceito para explorar esse bug no final de junho.

O código de prova de conceito foi retirado horas depois que os pesquisadores perceberam que ele estava explorando um problema diferente, muito pior, mas àquela altura, o gatilho estava fora de questão.

Dois CVEs foram relacionados ao problema do Print Spooler:

CVE-2021-1675 – bug de elevação de privilégio no servidor Print Spooler
CVE-2021-34527- execução remota de código no servidor Print Spooler
CVE-2021-36958 – obtenção de privilégios de System.

A Microsoft atribuiu o CVE-2021-34527 a esse novo bug e o corrigiu duas semanas depois, em 6 de julho.

Desde então, várias outras variações desses dois bugs iniciais do PrintNightmare foram descobertos no serviço Print Spooler, incluindo um descoberto um dia após a Patch Tuesday deste mês e ainda sem patch , todos ainda chamados coletivamente de PrintNightmare.

Ataques limitados à Coreia do Sul, por enquanto

Embora vários especialistas em segurança tenham antecipado que o PrintNightmare seria explorado em estado selvagem, especialmente a variante RCE, por enquanto, os ataques foram limitados à Coreia do Sul.

Identificado pela primeira vez no final de 2017, o ransomware Magniber está ativo exclusivamente na Coreia do Sul.

O ransomware Magniber foi detectado pela primeira vez no final de 2017 como alvo de vítimas na Coreia do Sul por meio de campanhas de malvertising usando o Magnitude Exploit Kit (EK). As campanhas anteriores do Magniber passaram por esforços significativos para infectar apenas as vítimas na Coreia do Sul, embora em meados de 2018 também tenha sido detectado como alvo em outros países da Ásia-Pacífico.

Os operadores do Magnitude Exploit Kit (EK) inicialmente usaram o ransomware Cerber exclusivamente antes de recorrer ao Magniber, que se acredita ser o sucessor do Cerber. O vetor de infecção mais popular para Magniber envolveu o uso de vulnerabilidades não corrigidas, como explorações do Internet Explorer ( CVE-2018-8174 , CVE-2021-26411 , CVE-2020-0968 , CVE-2019-1367 ) ou Flash ( CVE-2018 -8174 ) vulnerabilidades, infectando vítimas por meio de sites comprometidos ou downloads drive-by.

Embora CrowdStrike não tenha publicado uma cadeia de ataque para os recentes ataques Magniber-PrintNightmare, vale a pena mencionar que o grupo Magniber tem usado o kit de exploração Magnitude para distribuir suas cargas desde pelo menos 2018, um kit de exploração que ainda usa hoje, de acordo com para Avast .

Um kit de exploração é um aplicativo baseado na web projetado para infectar usuários explorando vulnerabilidades do navegador.

Magniber estava em desenvolvimento ativo para incluir novos recursos de ofuscação, táticas de evasão e mecanismos de criptografia que tornaram a criptografia mais robusta, aparecendo em campanhas esporádicas ao longo dos anos. Seus desenvolvedores também fizeram um esforço significativo para limitar as infecções nos países da Ásia-Pacífico, incluindo várias verificações de idioma.