Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server

Publiziert am 12. August 2021 von Günter Born

Windows[English]Es ist passiert, es gibt den ersten Fall, bei dem eine Ransomware-Gang die Windows PrintNightmare-Schwachstelle für Angriffe auf Windows Server nutzt. Im Juli 2021 konnte der Sicherheitsanbieter Crowdstrike einen Ransomware-Angriff auf ein Ziel in Südkorea vereiteln. Bei der Auswertung stellten die Sicherheitsforscher fest, dass die Magniber-Ransomware-Gang versuchte, die Schwachstelle (CVE-2021-34527) auszunutzen.

Anzeige

CrowdStrike ist ein Sicherheitsanbieter, der einen Cloud-basierenden Geräteschutz bereitstellt. Als die Sicherheitslücke PrintNightmare (CVE-2021-34527) öffentlich bekannt wurde, vermutete der Sicherheitsanbieter CrowdStrike, dass diese Sicherheitslücke wahrscheinlich von Bedrohungsakteuren ausgenutzt werden wird. Denn die Schwachstellen bietet die Möglichkeit zur Remotecodeausführung (RCE) und zur lokalen Rechteerweiterung (LPE). Diese Einschätzung hat sich nun als richtig erwiesen. In nachfolgendem Tweet weist der Anbieter auf einen vereitelten Ransomware-Angriff, der die Schwachstelle ausnutzt, hin.

Die Sicherheitsforscher von CrowdStrike beobachteten kürzlich neue Aktivitäten im Zusammenhang mit einer Ransomware-Familie aus dem Jahr 2017, bekannt unter dem Namen Magniber. Die CrowdStrike-Sicherheitslösung erkannte und verhinderte am 13. Juli 2021 einen Angriff einer Schadsoftware auf Opfer in Südkorea. Die Schadsoftware versuchte, die PrintNightmare-Schwachstelle auf Windows Server-Systemen auszunutzen. Die Sicherheitssoftware schritt aber ein, bevor eine Verschlüsselung stattfand, schreibt das Unternehmen in diesem Blog-Beitrag.

Laut Unternehmen bietet die CrowdStrike Falcon®-Plattform einen mehrschichtigen Schutz vor Bedrohungen, indem sie maschinelles Lernen (auf dem Sensor und in der Cloud) und Angriffsindikatoren (Indicators of Attack, IOAs) einsetzt, um bösartige Prozesse oder Dateien zu identifizieren, die mit bekannten oder unbekannten Bedrohungen in Verbindung stehen, und dabei auf die Taktiken und Techniken abzielt, die von Angreifern zur Kompromittierung von Endpunkten verwendet werden. Diese Strategie hat wohl den erfolgreichen Angriff verhindert.

Zur PrintNightmare-Schwachstelle hatte ich ja einiges hier im Blog geschrieben (siehe Links am Artikelende). Interessant ist die Timeline der PrintNightmare-Schwachstelle, die CrowStrike in seinem Blog-Beitrag veröffentlicht hat.

  • 8. Juni 2021: Die Sicherheitslücke PrintNightmare (CVE-2021-1675) wird von Sicherheitsforschern entdeckt und an Microsoft gemeldet. Bei ihren Untersuchungen versuchten sie, einen früheren Patch zu umgehen, der die Sicherheitslücke "PrintDemon" (CVE-2020-1048) behebt.
  • 21. Juni 2021: Obwohl Microsoft im Rahmen des Microsoft Patch Tuesday im Juni 2021 einen Patch für CVE-2021-1675 veröffentlichte, wurden keine weiteren Informationen zur Ausnutzung der Sicherheitslücke bekannt gegeben. Zu diesem Zeitpunkt wurde angenommen, dass die Sicherheitslücke nur von einem lokal authentifizierten Benutzer ausgenutzt werden kann. Die Sicherheitslücke wurde jedoch am 21. Juni von Microsoft auf kritisch hochgestuft, da sie RCE ermöglichen könnte.
  • 29. Juni 2021: Unabhängig davon veröffentlichte einer von drei weiteren Sicherheitsforschern, die einen ähnlichen Fehler im Windows Print Spooler-Dienst untersuchten, am 29. Juni versehentlich einen Proof of Concept (POC), der die Sicherheitslücke (CVE-2021-1675) ausnutzt, in einem GitHub-Repository. Obwohl der Fehler kurz darauf korrigiert wurde, wurde das GitHub-Repository Berichten zufolge geforkt und der POC gelangte in die freie Wildbahn, was zu einem möglichen Missbrauch durch Angreifer führen kann.
  • 1. Juli 2021: Obwohl Microsoft die Sicherheitslücke CVE-2021-1675 durch die Veröffentlichung eines Patches behoben hat, wird in dem öffentlich gewordenen POC ein anderer Angriffsvektor ausgenutzt, der die Sicherheitslücke im Print Spooler auslöst. Ab dem 1. Juli wurden mehrere verschiedene Proof of Concepts veröffentlicht, die die Drucker-Spooler-Schwachstelle ausnutzen. Infolgedessen wurde am 1. Juli eine zweite CVE (CVE-2021-34527) erstellt, wobei Microsoft angab, dass "CVE-2021-1675 ähnlich ist, sich aber von CVE-2021-34527 unterscheidet".
  • 6. Juli 2021: Ab dem 6. Juli veröffentlichte Microsoft mehrere Out-of-Band-Updates (OOB), mit dem die Sicherheitslücke CVE-2021-34527 entschärft werden sollte. Stunden später fanden Sicherheitsforscher jedoch heraus, dass es unter bestimmten Bedingungen erneut möglich war, die auferlegten Entschärfungen zu umgehen. Beliebte Exploit-Tools wie Metasploit und Mimikatz begannen, den Exploit-Code einzubauen, und ebneten so den Weg für die Bewaffnung von Angreifern mit einer noch nicht behobenen Sicherheitslücke.

Bereits am 13. Juli 2021 konnte Crowdstrike dann den Cyber-Angriff der Magniber-Ransomware-Gang feststellen und vereiteln. Wenn man jetzt weiß, dass der Print-Spooler-Dienst weitere Schwachstellen aufweist (siehe Windows PrintNightmare, neue Runde mit CVE-2021-36958) , ist es eine Frage der Zeit, wann die nächsten Angriffe stattfinden. PrintNightmare ist also noch nicht vorbei – und das in diesem Tweet gezeigte animierte GIF bringt die Patch-Versuche von Microsoft auf den Punkt.

Microsoft Patch attempts

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server

  1. BetaTester sagt:
    13. August 2021 um 08:09 Uhr

    Ich wollte mich nur für diesen Hinweis bedanken. Ist immer wieder hilfreich diese Infos zu erfahren ohne selbst auf diesen SocialMedia Plattformen unterwegs zu sein und das abzugrasen.

    Antworten

Schreibe einen Kommentar zu BetaTester Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.