Um den Verschlüsselungstrojaner Vice Society auf Systemen zu installieren, nutzen die Hintermänner des Schädlings die PrintNightmare-Lücke auf Windows-Systemen aus. Daten werden im Anschluss verschlüsselt und es wird Lösegeld gefordert. Nur zum Teil sind Sicherheitspatches verfügbar und das Sicherheitsrisiko gilt als "hoch".

Von allen Windows- und Windows-Server-Versionen finden sich die PrintNightmare-Schwachstellen in der Drucker-Implementierung. Anfang Juli 2021 gab es erste Attacken. Auf gefährdeten Systemen können Angreifer einen präparierten Treiber aufspielen und nach einer erfolgreichen Attacke Schadcode mit System-Rechten ausführen. Auch Domain-Controller sind davon betroffen und ganze Netzwerke könnten von Angreifer kompromittiert werden.

Mit Notfallpatches wurden die ersten PrintNightmare-Lücken von Microsoft geschlossen. Allerdings gibt es für eine jüngst entdeckte Schwachstelle (CVE-2021-36958, „hoch“) in der Druckerverwaltung noch keinen Patch. Daher sollten Admins ihre Systeme etwa darüber absichern, indem sie den Print-Spooler-Service deaktivieren. Dies hat aber zur Folge, dass nicht mehr lokal oder über das Netzwerk gedruckt werden kann.

Sicherheitsforscher von Cisco Talos sind auf die Attacken mit dem Erpressungstrojaner gestoßen. Die Gruppe hat laut den Forschern in der Vergangenheit vor allem Ausbildungsstätten wie Schulen in den USA attackiert.

Es ist nicht bekannt, in welchem Umfang die Attacken stattfinden. Admins sollten über Windows Update sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind und alle derzeit verfügbaren PrintNightmare-Patches (CVE-2021-1675 „hoch“, CVE-2021-34527 „hoch“) installiert sind.

Noch ist nicht bekannt, wann Microsoft die derzeit noch ungepatchte Lücke (CVE-2021-36958) schließt und in der Warnmeldung zur Schwachstelle erwähnt Microsoft lediglich den monatlich stattfindenden Patchday.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE