Af Eskil Sørensen, 16/08/21
Efter at Windows henover sommeren har kæmpet med PrintNightmare-sårbarhederne og researchere, der offentligt har stillet exploits til skue og eksterne servere til rådighed til udnyttelser, er det nu kommet frem, at en ransomwaregruppe aktivt bruger sårbarhederne til at aflevere ransomwarepakker.
Der er tale om en gruppe ved navn Magniber, der ifølge Bleeping Computer har været aktiv siden oktober 2017 ved hjælp af det såkaldte Magnitude Exploit Kit (EK) – angiveligt efterfølgeren til Cerber ransomware. Gruppen er oprindeligt gået efter sydkoreanske ofre, men siden er aktiviteterne udvidet til hele verden, dog med udgangspunkt i Sydøstasien med virksomheder i Kina, Taiwan, Hong Kong, Singapore, Malaysia på offerlisten.
Andre står på lur
Metoden er at kompromittere servere, der ikke er opdateret mod PrintNightmare, derefter aflevere Magniber-pakke med en DLL-loader, som først indsættes i en proces og senere pakkes ud mhp. at kryptere filer på den kompromitterede enhed. En DLL-loader er en særlig type Windows-program, der indeholder funktioner, som andre programmer kan kalde. En DLL-fil kan indsættes i alle processer og ændre processernes adfærd.
På den måde kan trusselsaktører bruge sårbarhederne til at hæve privilegier eller distribuere malware som administratorer med SYSTEM-privilegier via remote code execution.
Der er angiveligt kun evidens for, at det er Magniber-gruppen, der bruger PrintNightmware-sårbarheden til angreb mod ofre, men ifølge Bleeping Computer ’..vil andre angribere (inklusive ransomware-grupper) sandsynligvis deltage (hvis de ikke allerede har gjort det), da der er andre rapporter om in-the-wild PrintNightmare-udnyttelser, der er dukket op siden sårbarheden blev rapporteret og proof-of-concept- blev lækket.’
Arbejdet ikke ovre for Microsoft
Dermed følger udnyttelserne det klassiske mønster: Sårbarhed bliver kendt, exploits udviklet, udnyttet og solgt, leverandør kæmper med at lukke hullet og sender opdatering på gaden. Kriminelle grupperinger udnytter sårbarheden, indtil alle brugere af de sårbare produkter får opdateret.
PrintNightmare-sårbarheden har været anset for at være så alvorlig, at det amerikanske CISA udsendte et ’emergency directive’, der beordrede føderale enheder til at afbøde risikoen for at sårbarheden blev brugt i angreb på deres netværk.
Sårbarheden er forsøgt rettet over flere gange og senest opdateret i forbindelse med Patch tuesday i august. Siden er der dog opstået en ny sårbarhed, som Microsoft onsdag udsendte en advisory om med en workaround til håndtering af. En patch til denne er endnu ikke tilgængelig.
Microsofts arbejde med PrintNightmare er alligevel ikke ovre.
Links:
https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-prin...