Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe

Windows[English]Im Blog-Beitrag Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server hatte ich über den ersten Fall berichtet, bei dem die PrintNightmare-Schwachstelle für Angriffe auf Windows benutzt wurde. Nun ist Talos Security bereits auf den zweiten Fall gestoßen und berichtet, dass die Ransomware-Gang Vice Society Systeme ebenfalls über die Windows PrintNightmare-Schwachstelle angreift.


Anzeige

Vice Society ist eine Ransomware, die vermutlich ein Ableger von HelloKitty ist. Die Ransomware kann sowohl Linux-, als auch Windows-Systeme verschlüsseln. Sicherheitsexperte Michael Gillespie hat Mitte Juni 2021 die ersten Beispiele von Ransomware-Angriffen dieser Gruppe gefunden, wie Bleeping Computer hier berichtet.

Vice Society Ransomware

Jetzt scheint die Ransomware-Gang Vice Society ebenfalls die Windows PrintNightmare-Schwachstelle als Hebel für Angriffe auf Windows-Systeme entdeckt zu haben.

Vice Society Ransomware

In diesem Artikel beschreiben die Sicherheitsforscher von Talos, das ein weiterer Bedrohungsakteur die so genannte PrintNightmare-Schwachstelle (CVE-2021-1675 / CVE-2021-34527) im Druckspooler-Dienst von Windows aktiv ausnutzt. Die Vice Society-Ransomware verwendet die Schwachstelle, um erhöhte Privilegien zu erhalten und sich dann im Rahmen eines aktuellen Ransomware-Angriffs seitlich über das Netzwerk eines Opfers auszubreiten. Während frühere Untersuchungen ergaben, dass andere Bedrohungsakteure diese Schwachstelle bereits ausgenutzt hatten, scheint dies für den Bedrohungsakteur Vice Society neu zu sein. Darauf deuten die Ergebnisse einer Untersuchung von Cisco Talos Incident Response hin.

Die Untersuchungen von Talos Incident Response zeigen aber auch, dass mehrere unterschiedliche Bedrohungsakteure die PrintNightmare-Schwachstelle als attraktiv für ihre Angriffe ansehen. Es deutet vieles darauf hin, dass diese Schwachstelle auch in Zukunft von verschiedenen Angreifern genutzt werden wird. Für Verteidiger ist es wichtig, den Lebenszyklus eines Angriffs zu verstehen, der zum Einsatz von Ransomware führt. Details zum Angriff sind in diesem Artikel nachlesbar.

Die PrintNightmare-Schwachstelle

Anfang Juli 2021 hatte ich im Blog-Beitrag PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko erstmals über die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, über die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausführen könnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu ändern oder löschen oder neue Konten mit vollen Benutzerrechten zu erstellen.

Microsoft versucht seit Anfang Juli 2021 die PrintNightmare-Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Aber nach jedem Patch weisen Sicherheitsforscher nach, dass die PrintNightmare-Schwachstelle unvollständig gepatcht wurde. Insbesondere die Point-and-Print genannte Funktion, über die Nutzer Druckertreiber installieren können, lässt sich für Angriffe missbrauchen. Vor wenigen Tagen gab es eine neue Sicherheitswarnung durch Microsoft (siehe Windows PrintNightmare, neue Runde mit CVE-2021-36958).  Microsoft empfiehlt momentan, den Druckerspooler-Dienst wieder zu deaktivieren.


Anzeige

Ähnliche Artikel
PoC für Windows Print-Spooler-Schwachstelle öffentlich, hohes RCE-Risiko
Windows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS bestätigt; CISA warnt
Nachlese: Das Chaos-PrintNightmare-Notfall-Update (6./7.Juli 2021)
Notfall-Update schließt PrintNightmare-Schwachstelle in Windows (6. Juli 2021)
PrintNightmare-Notfall-Update auch für Windows Server 2012 und 2016 (7. Juli 2021)
Microsoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher
Windows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)
PrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien
Microsoft Defender for Identity kann PrintNightmare-Angriffe erkennen
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
Windows PrintNightmare, neue Runde mit CVE-2021-36958


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe

  1. Bolko sagt:

    Debian 10 (Buster) unterstützt "driverless printing" für Drucker, die über Netzwerk angeschlossen sind.
    Heute am 14.8. wird Debian 11 (Bullseye) veröffentlicht, welches dann mit ipp-usb auch USB-Drucker genauso (driverless) benutzen kann.

    Um PrintNightmare zu umgehen wäre es also eine Option, einen Debian 11 Druckerserver via CUPS zu benutzen statt Windows und die zu druckenden Dokumente ohne Treiber und ohne Windows-Druckerwarteschlange direkt zum Drucker zu schicken.

    Apple kann ebenfalls ohne Treiber drucken und nennt das "AirPrint".

    Es ist offensichtlich, dass die Sicherheit steigt, wenn man das Problem der Treiber komplett eliminiert und abschafft, weil die Angriffsfläche sinkt.

    Microsoft wäre gut beraten, dieses "driverless printing" ebenfalls in Windows zu implementieren und die bisherigen treibergestützten Druckerfunktionen ersatzlos zu streichen.

    Microsoft hinkt leider technisch etwas hinterher und bekommt auch deswegen immer öfter immer schlimmere Probleme.

    Für die Druckerhersteller hätte es auch nur Vorteile, da sie keine Treiber mehr extra für Windows entwickeln müssten.
    Hier macht also Microsoft die Entwicklung für Hardwarehersteller unnötig teuer.

    Zitat zu Debian 11 Bullseye driverless printing:

    2.2.2.1. CUPS and driverless printing
    Modern printers connected by ethernet or wireless can already use driverless printing, implemented via CUPS and cups-filters, as was described in the Release Notes for buster. Debian 11 "bullseye" brings the new package ipp-usb, which is recommended by cups-daemon and uses the vendor-neutral IPP-over-USB protocol supported by many modern printers. This allows a USB device to be treated as a network device, extending driverless printing to include USB-connected printers.

    http://www.debian.org/releases/bullseye/amd64/release-notes/ch-whats-new.en.html#driverless-operation

    • 1ST1 sagt:

      "Microsoft wäre gut beraten, dieses „driverless printing" ebenfalls in Windows zu implementieren und die bisherigen treibergestützten Druckerfunktionen ersatzlos zu streichen."

      Und dann viele millionen funktionierende Drucker wegwerfen, weil sie diese Druckfunktion nicht unterstützen, oder worauf läuft das hinaus?

      • Bolko sagt:

        Dank TPM-Zwang werden auch viele Millionen Mainboards unbrauchbar für Windows 11, also ist das kein Argument.

        Außerdem unterstützten de meisten Drucker diese Funktion, dürfte also kein allzu großes Problem sein.

    • gpburth sagt:

      Microsoft kann (sowas ähnliches wie) "driverless printing". Nennt sich "V4 Treiber" oder "XPS printing path". Da bringt Microsoft eine Reihe Standard-Treiber mit, die die Drucker auch ohne separate Treiber-Installation ansprechen können. Also genau so, wie man heute einen USB-Stick anstecken kann, ohne erstmal einen Treiber rauszusuchen.
      Das Problem: das war den Drucker-Herstellern zu wenig. Da kann man ja gar nicht das eigene Logo überall reinmachen und die automatische Überwachung der Kunden ("Tinten-Nachbestellung") geht auch nicht mehr über den Treiber…

  2. Psychodoc sagt:

    Betrifft die "Windows PrintNightmare-Sicherheitslücke" auch Einzelcomputer-Nutzer oder nur größere Rechnernetze in Behörden oder Firmen?
    Ich frage mich, ob ich bedroht bin?
    Mein Windows 10 Pro und Office 2016 befindet sich hinter einer Hardware-Firewall von Linogate mit Intrusion-Prevention-Detektion, Kaspersky-Scanner. Auf dem Hauptrechner habe ich F-Secure und scanne mit On-Demand-Scannern regelmäßig. Selbstverständlich habe ich mehrere vom Rechner getrennte Backups an verschiedenen Orten und ich patche Windows 10 innerhalb von 12 Stunden nach dem Erscheinen dies Patches.
    Beruflich bin ich leider an Windows gebunden. Privat verwende ich Linux.
    Muss ich noch etwas tun oder bin ich bereits paranoid?

    • Günter Born sagt:

      Ich würde da beruhigt abwarten.

    • grehmlacs sagt:

      bereits para!
      aber sowat von jenseits…
      :-P

    • 1ST1 sagt:

      Solange der/die PC(s) nicht per SMB-Protokoll auf das Internet zugreifen können, ist die Wahrscheinlichkeit für den Alptraum gering. Denn der manipuluerte Druckserver, über den der schädliche Druckertreiber gestartet wird, ist bei den bisherigen Angriffsszenarien nicht im lokalen Netz.

      • Psychodoc sagt:

        Vielen Dank an Herrn Born und 1ST1. Mir ist jetzt klarer, dass ich nicht unmittelbar von der Printer-Problematik betroffen bin. Als selbstständiger Arzt sehe ich die Sicherheitsproblematik enger als ein Arzt im Krankenhaus, wo es immer noch die Verantwortungsdiffusion gibt.
        Durch die Einführung der Telematikinfrastruktur im Gesundheitswesen wird alles immer komplizierter.
        Es fällt mir nicht immer leicht zu verstehen, was für mich an einem Einzel-PC relevant ist, sondern nur für größere Rechnernetze gilt.

        • techee sagt:

          Hallo Psychodoc,
          für die Arztpraxis empfehle ich, dass dein Backup Konzept standfest ist.
          D.h., dass du auch die Rückspielung regelmäßig gegentestest, am besten mit einem hardwaregleichen Test PC des Hauptrechners…
          Falls du Images auf USB Platten sicherst, sollten diese nicht dauerhaft am Rechner hängen, sonst könnte ein Verschlüsselungstrojaner die Backups mit verschlüsseln.

          Wenn dir das Thema zu viel wird, gib es an einen IT Dienstleister.

          Gruß

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.