انتشار باجافزار با سوءاستفاده از PrintNightmare
مهاجمان با سوءاستفاده از PrintNightmare، در حال آلودهسازی دستگاهها به باجافزار Magniber هستند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، به روش جدید انتشار این باجافزار پرداخته شده است.
PrintNightmare به مجموعهای از آسیبپذیریهای امنیتی (با شناسههای CVE-2021-1675،و CVE-2021-34527 و CVE-2021-36958) اطلاق میشود که سرویس Windows Print Spooler، راهاندازهای چاپ در Windows و قابلیت Point & Print Windows از آن متاثر میشوند.
مایکروسافت بهروزرسانیهای امنیتی را برای آسیبپذیریها با شناسههای CVE-2021-1675 و CVE-2021-34527 در ماههای ژوئن، ژوئیه و آگوست منتشر کرد. این شرکت همچنین با انتشار توصیهنامه زیر، راهکاری برای ترمیم آسیبپذیری CVE-2021-36958 نیز ارائه داده است.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958
CVE-2021-36958 یک ضعف امنیتی روز-صفر است که امکان ترفیع سطح دسترسی را برای مهاجم فراهم میکند.
مهاجم میتواند از این نقصهای امنیتی در جهت ترفیع سطح دسترسی محلی (LPE) استفاده کرده یا بدافزارهایی را بصورت از راه دور با سطح دسترسی SYSTEM در سطح دامنه توزیع کند.
همانطور که ماه گذشته محققان کراوداسترایک (CrowdStrike Holdings, Inc) اعلام کردند، گروه باجافزاری Magniber از PrintNightmare برای هدف قرار دادن قربانیان در کره جنوبی استفاده میکنند.
Magniber پس از آلودهسازی سرورهای آسیبپذیر به PrintNightmare، یک فایل DLL مبهمسازی شده را دریافت و پس از تزریق آن در یک پروسه، فایلهای موجود در دستگاه را شناسایی و سپس آنها را رمزگذاری میکند.
در اوایل فوریه 2021 نیز در جریان انتشار این باجافزار، Magniber از طریق Magnitude Exploit Kit اقدام به سوءاستفاده از آسیبپذیری CVE-2020-0968 در Internet Explorer بر روی دستگاههای کاربران کره جنوبی کرده بود.
این باجافزار در ابتدا، قربانیان خود را در کره جنوبی مورد هدف قرار داده بود، اما بعداً حملات خود را در سراسر جهان گسترش داده و اهداف خود را به کشورهای دیگری از جمله چین، تایوان، هنگ کنگ، سنگاپور، مالزی و دیگر کشورها تغییر داد.
Magniber به طور چشمگیری در 30 روز گذشته فعال بوده و تقریباً 600 بار در سایت ID Ransomware به نشانی https://id-ransomware.malwarehunterteam.com ارسال شده است.
در حال حاضر، شواهد موجود حاکی از آن است که گروه باجافزاری Magniber تنها با سوءاستفاده از ضعف امنیتی PrintNightmare قربانیان را به طور گسترده مورد هدف قرار داده است. احتمال داده میشود بهزودی مهاجمان دیگری نیز از آسیبپذیری PrintNightmare برای انتشار کد باجافزار خود سوءاستفاده خواهند کرد.
به منظور ایمن ماندن از این حملات، توصیه میشود راهبران در اسرع وقت اقدام به نصب اصلاحیههای مربوطه کنند و راهکارهای ارائه شده از سوی شرکت مایکروسافت را در دستور کار قرار دهند.
همچنین برخی محققان توصیه کردهاند، سرویس Windows Print Spooler بر سرورهایی که از آنها برای چاپ استفاده نمیشود غیرفعال شود.