Os operadores de ransomware da Vice Society estão explorando ativamente a vulnerabilidade do spooler de impressão do Windows PrintNightmare em seus ataques contra servidores Windows.

As falhas do PrintNightmare (rastreadas como (CVE-2021-36958) residem no serviço Windows Print Spooler, drivers de impressão e no recurso Windows Point and Print.

Um invasor pode explorar essas vulnerabilidades para a escalada de privilégios local (LPE) ou execução remota de código (RCE).

A Microsoft emitiu atualizações de segurança, entre junho e agosto, para resolver os problemas acima, também implementou as mesmas alterações no comportamento padrão de Ponto e Impressão padrão . Os usuários não administradores não poderão mais fazer o seguinte usando o Point and Print sem uma elevação do privilégio para o administrador:

Instale novas impressoras usando drivers em um computador ou servidor remoto

Atualize os drivers de impressora existentes usando drivers de computador ou servidor remoto

A Microsoft publicou recentemente um aviso de segurança para alertar seus clientes sobre outra execução remota de código de zero-vulnerabilidade, rastreada como CVE-2021-36958, que reside no componente Windows Print Spooler. Um invasor local poderia explorar a vulnerabilidade para obter privilégios do SISTEMA em sistemas vulneráveis.

"Existe uma vulnerabilidade de execução remota de código quando o serviço Windows Print Spooler executa indevidamente operações de arquivos privilegiados. Um invasor que explorou com sucesso essa vulnerabilidade poderia executar código arbitrário com privilégios do SISTEMA. Um invasor poderia então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos plenos do usuário." lê o aviso de segurança publicado pela Microsoft. "A solução alternativa para essa vulnerabilidade é parar e desativar o serviço Print Spooler."

A falha recebeu uma pontuação CVSS de 7.3, a Microsoft disse que a única solução alternativa para este problema é desativar o serviço Print Spooler.

Especialistas da Cisco Talos descobriram que os operadores de ransomware da Vice Society estão explorando duas vulnerabilidades do PrintNightmare (CVE-2021-1675 e CVE-2021-34527) para implantar um DLL malicioso em servidores-alvo.

Outro ator de ameaças está explorando ativamente a chamada vulnerabilidade do PrintNightmare (CVE-2021-1675 / CVE-2021-34527) no serviço de digitalização do Windows para se espalhar lateralmente pela rede de uma vítima como parte de um recente ataque de ransomware, de acordo com a pesquisa Cisco Talos Incident Response." afirma o post publicado pela Cisco Talos.

O ransomware Vice Society está ativo desde junho, é considerado pelos pesquisadores um spin-off do ransomware HelloKitty, o malware tem como alvo tanto os sistemas Windows quanto Linux pertencentes principalmente a vítimas pequenas ou médias.

Esse grupo se concentra em distritos de escolas públicas e outras instituições de ensino, como outras gangues de ransomware, implementa um modelo de extorsão dupla e publica dados roubados das vítimas em um site de vazamento de dados.

Especialistas da Talos publicaram uma lista das principais características interessantes das operações do grupo:

O uso de utilitários como proxychains e impacket durante as fases pós-compromisso do ciclo de vida de ataque.

O direcionamento de backups para evitar a recuperação após a implantação de ransomware.

A degradação dos servidores ESXi utilizados para virtualização em ambientes de vítimas.

O uso de um DLL que se aproveita da vulnerabilidade recém-descoberta do PrintNightmare para a qual a Microsoft já lançou uma atualização de segurança.

Tentativas de contornar proteções nativas do Windows para roubo de credenciais e escalada de privilégios.

A quadrilha rapidamente adapta seus TTPs para explorar novas vulnerabilidades para evitar a detecção, para o movimento lateral e para obter persistência na rede da vítima.

Esta semana, o CrowdStrike revelou ter observado recentemente uma atividade maliciosa associada ao ransomware Magniber, uma ameaça que está ativa desde 2017. Na recente onda de ataques, os atores de ameaças tentaram desencadear a vulnerabilidade printnmare em sistemas pertencentes a vítimas na Coreia do Sul.

"O uso da vulnerabilidade conhecida como PrintNightmare mostra que os adversários estão prestando muita atenção e incorporarão rapidamente novas ferramentas que eles acham úteis para vários propósitos durante seus ataques", conclui Talos.

"Vários atores de ameaças distintos estão agora se aproveitando do PrintNightmare, e essa adoção provavelmente continuará aumentando enquanto for eficaz."