Windows: Vice-Society-Ransomware schlüpft durch PrintNightmare-Lücken
Mehrere Drucker-Schwachstellen bedrohen Windows. An diesen setzen Angreifer nun abermals an und infizieren Systeme mit Schadcode. Admins sollten jetzt handeln.
Die Hintermänner des Verschlüsselungstrojaners Vice Society nehmen Windows-Systeme ins Visier und nutzen die PrintNightmare-Lücken aus, um den Schädling auf Systemen zu installieren. Im Anschluss verschlüsselt er Daten und fordert Lösegeld. Sicherheitspatches sind nur zum Teil verfügbar. Das Sicherheitsrisiko gilt als "hoch".
Die PrintNightmare-Schwachstellen finden sich in der Drucker-Implementierung von allen Windows- und Windows-Server-Versionen. Erste Attacken gab es Anfang Juli 2021. Angreifer können bedrohten Systemen einen präparierten Treiber unterschieben und nach einer erfolgreichen Attacke Schadcode mit System-Rechten ausführen. Davon sind auch Domain-Controller betroffen und Angreifer könnten ganze Netzwerke kompromittieren.
Die ersten PrintNightmare-Lücken hat Microsoft mit Notfallpatches geschlossen. Für eine jüngst entdeckte Schwachstelle (CVE-2021-36958, „hoch“) in der Druckerverwaltung gibt es bislang nicht keinen Patch. Admins müssen Systeme etwa darüber absichern, indem sie den Print-Spooler-Service deaktivieren. Das zieht aber nach sich, dass man nicht mehr lokal oder über das Netzwerk drucken kann.
Aktuelle Angriffe
Auf die Attacken mit dem Erpressungstrojaner sind Sicherheitsforscher von Cisco Talos gestoßen. Den Forschern zufolge hat die Gruppe in der Vergangenheit vor allem Ausbildungsstätten wie Schulen in den USA attackiert.
Aktuellen Ransomware-Trends folgend drohen die Kriminellen Opfern beim Angriff kopierte Daten zu veröffentlichen. Damit wollen sie den Druck das Lösegeld zu zahlen erhöhen. Außerdem soll der Schädling es auf Backups abgesehen haben, sodass Opfer nach einer Attacke Systeme nicht ohne Weiteres wiederherstellen können.
Die Forscher haben beobachtet, dass die Angreifer sich nach dem Abladen des Verschlüsselungstrojaners noch weiter auf Systemen umschauen und es beispielsweise auf gespeicherte Zugangsdaten abgesehen haben. Ziel ist es, sich via Lateral movement auf weitere Systeme auszubreiten. Sie gegen außerdem davon aus, dass noch weitere Angreifer die PrintNightmare-Lücken ins Visier nehmen werden.
Jetzt patchen!
In welchem Umfang die Attacken stattfinden, ist derzeit nicht bekannt. Nichtsdestotrotz sollten Admins über Windows Update sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind und alle derzeit verfügbaren PrintNightmare-Patches (CVE-2021-1675 „hoch“, CVE-2021-34527 „hoch“) installiert sind.
Wann Microsoft die derzeit noch ungepatchte Lücke (CVE-2021-36958) schließt, ist zum jetzigen Zeitpunkt nicht bekannt. In der Warnmeldung zur Schwachstelle erwähnt Microsoft lediglich den monatlich stattfindenden Patchday. In diesem Fall müsste man noch rund einen Monat auf ein Sicherheitsupdate warten.
WIe man Windows effektiv gegen solche und weitere Attacken absichert, erfährt man im Webinar "Wege aus dem Windows-Security-Albtraum - PrintNightmare & Co. verstehen und richtig mitigieren" von heise Security. Die Videoaufzeichnung kann man für 89 Euro kaufen.
(des)
