Um den Verschlüsselungstrojaner Vice Society auf Systemen
zu installieren, nutzen die Hintermänner des Schädlings
die PrintNightmare-Lücke auf Windows-Systemen
aus. Daten werden im Anschluss verschlüsselt und es wird Lösegeld
gefordert. Nur zum Teil sind Sicherheitspatches verfügbar und
das Sicherheitsrisiko gilt als "hoch".
Von allen Windows- und Windows-Server-Versionen finden sich die
PrintNightmare-Schwachstellen in der Drucker-Implementierung. Anfang
Juli 2021 gab es erste Attacken. Auf gefährdeten Systemen können
Angreifer einen präparierten Treiber aufspielen und nach einer
erfolgreichen Attacke Schadcode mit System-Rechten ausführen.
Auch Domain-Controller sind davon betroffen und ganze Netzwerke
könnten von Angreifer kompromittiert werden.
Mit Notfallpatches wurden die ersten PrintNightmare-Lücken
von Microsoft geschlossen. Allerdings gibt es für eine jüngst
entdeckte Schwachstelle (CVE-2021-36958, hoch) in der
Druckerverwaltung noch keinen Patch. Daher sollten Admins ihre Systeme
etwa darüber absichern, indem sie den Print-Spooler-Service
deaktivieren. Dies hat aber zur Folge, dass nicht mehr lokal oder
über das Netzwerk gedruckt werden kann.
Sicherheitsforscher von Cisco
Talos sind auf die Attacken mit dem Erpressungstrojaner gestoßen.
Die Gruppe hat laut den Forschern in der Vergangenheit vor allem
Ausbildungsstätten wie Schulen in den USA attackiert.
Es ist nicht bekannt, in welchem Umfang die Attacken stattfinden.
Admins sollten über Windows Update sicherstellen, dass ihre
Systeme auf dem aktuellen Stand sind und alle derzeit verfügbaren
PrintNightmare-Patches (CVE-2021-1675 hoch, CVE-2021-34527
hoch) installiert sind.
Noch ist nicht bekannt, wann Microsoft die derzeit noch ungepatchte
Lücke (CVE-2021-36958) schließt und in der Warnmeldung
zur Schwachstelle erwähnt Microsoft lediglich den monatlich
stattfindenden Patchday.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|