През юни тази година Microsoft публикуваха редовния пакет с обновления за Windows, в който наред с другите открити проблеми се адресираше и CVE-2021-1675, уязвимост в Windows Print Spooler, която позволява неразрешеното повишаване на привилегиите в Windows (по-късно Microsoft редактират бюлетина със замяната на описанието за изпълнение на произволен код по отдалечен път към системата). Впоследствие, хонгконгски специалисти, подготвящи се за поредното хакерско експо решиха да публикуват демонстрация на експлоатирането на това, което те мислят, че е CVE-2021-1675. Оказало се обаче, че без да искат демонстрират друг, все още недокументиран проблем в услугата, спомагаща за принтирането на документи в Windows. Специалистите от Sangfor правят демонстрация на експлоатирането на уязвимост, като изпълняват дистанционно код към системата, получавайки права на SYSTEM – тоест, проблема позволява пълното превземане на Windows инсталацията. След като разбират грешката си, Sangfor изтриват публикуваната информация от Интернет, но белята е сторена и тяхното откритие вече обикаля онлайн пространството.

От Microsoft реагират за броени дни и публикуват обновление за това, което вече носи името PrintNightmare или далеч не толкова вълнуващо звучащото CVE-2021-34527. Междувременно, специалисти по киберсигурност откриват, че кръпката за CVE-2021-1675 не разрешава проблемите за всички версии на Windows и по-точно за Windows Server. Microsoft издават кръпка и за CVE-2021-34527, но и тя се оказва неуспешна, като впоследствие публикуват информация за това как може да бъде решен проблема, като в издадените през август обновления за Windows и това е решено. А експлойт кода за тези уязвимости вече е в Интернет и опитите за атака към тях не закъсняват. Тези дни пък се появи информация за нова дупка в същата услуга: CVE-2021-36958. Обновление за нея няма, но Microsoft издаде специален бюлетин, в който се обяснява начина, по който евентуални атаки към нея могат да се спрат. И въобще, ако не използвате принтер, най-добре изключете услугата. Защо ли? Ами защото вече и рансъмуер групи атакуват дупките в услугата, за което съобщават ZDNet, които се позовават на информация на Cisco и Crowdstrike.

Една от първите рансъмуер групи тук носи името Vice Society и се е появила това лято, като цели са ѝ основно учебни институции и организации. Другата рансъмуер група, която е започнала да експлоатира уязвимостите с цел доставянето на рансъмуер е Magniber, киберпрестъпен колектив, известен от 2017, който се занимава освен с рансъмуер и с друг тип атаки, като например разпространението на зловредна реклама. Специалистите и от двете компании отбелязват, че проблемите в Print Spooler вече биват атакувани от множество киберпрестъпници.

„Crowdstrike смята, че съчетаването на PrintNightmare с доставката на рансъмуер вероятно ще продължи да се експлоатира и от другите криминални елементи. Призоваваме организациите винаги да налагат последните обновления и кръпки по сигурността, за да избегнат познатите уязвимости, както и да се придържат към най-добрите защитни практики, за да засилят общата си сигурност и подготвеност срещу модерните заплахи и противници“, обобщават Crowdstrike. Що се отнася до Microsoft и опитите им да се справят с проблемите в Print Spooler, то всичко случило се им донесе една доста срамна награда от последния Black Hat USA.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

2 Коментара
стари
нови оценка
Отзиви
Всички коментари