ИБ-эксперты заметили, что операторы шифровальщиков добавили в свой арсенал эксплоиты для проблем PrintNightmare и используют их для развертывания пейлоадов вымогателя Magniber.
Название PrintNightmare объединяет в себе целый класс уязвимостей (CVE-2021-1675, CVE-2021-34527 и CVE-2021-36958), влияющих на службу диспетчера очереди печати Windows (Print Spooler), драйверы печати и функцию Windows Point and Print.
Microsoft уже выпускала патчи для CVE-2021-1675 и CVE-2021-34527 в июле и августе текущего года, однако исследователи обнаружили, что проблемы все еще не устранены до конца, и злоумышленники по-прежнему могут получить привилегии уровня System, просто подключившись к удаленному серверу печати. Этой проблеме недавно был присвоен идентификатор CVE-2021-36958.
Как теперь сообщают специалисты компании Crowdstrike, еще в прошлом месяце хакеры взяли проблемы PrintNightmare на вооружение. Уязвимости эксплуатирует как минимум одна хак-группа, стоящая за вымогателем Magniber, которая применяет эксплоиты для PrintNightmare против жертв из Южной Кореи.
После компрометации серверов, на которых не установлены патчи для PrintNightmare, Magniber задействует обфусцированный загрузчик DLL, который сначала внедряется в процесс, а затем распаковывается для выполнения локального file traversal и шифрования файлов на скомпрометированном устройстве.
Пока эксперты считают, что только Magniber использует эксплоиты для PrintNightmware для своих атак, однако они ожидают, что вскоре уязвимости явно возьмут на вооружение и других хак-группы, особенно разработчики программ-вымогателей.