مهاجمان با سوء‌استفاده از PrintNightmare، در حال آلوده‌سازی سرورها به باج‌افزار Magniber هستند.
به گزارش مرکز مدیریت راهبردی افتا، PrintNightmare به مجموعه‌ای از آسیب‌پذیری‌های امنیتی (با شناسه‌های CVE-۲۰۲۱-۱۶۷۵ ، CVE-۲۰۲۱-۳۴۵۲۷ و CVE-۲۰۲۱-۳۶۹۵۸) اطلاق می‌شود که سرویس Windows Print Spooler، راه‌اندازهای چاپ در Windows و قابلیت Point & Print Windows از آن متأثر می‌شوند.
مایکروسافت به‌روز‌رسانی‌های امنیتی را برای آسیب‌پذیری‌ها با شناسه‌های CVE-۲۰۲۱-۱۶۷۵ و CVE-۲۰۲۱-۳۴۵۲۷ در ماه‌های ژوئن، ژوئیه و آگوست منتشر کرد. این شرکت همچنین با انتشار توصیه‌نامه زیر، برای ترمیم آسیب‌پذیری CVE-۲۰۲۱-۳۶۹۵۸ نیز راهکاری را ارائه داده است:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۳۶۹۵۸

آسیب پذیری CVE-۲۰۲۱-۳۶۹۵۸ یک ضعف امنیتی روز – صفر است که امکان افزایش سطح دسترسی را برای مهاجم فراهم می‌کند. 
مهاجم می‌تواند از این باگ‌های امنیتی در جهت افزایش سطح دسترسی محلی (LPE) استفاده کرده یا بدافزارهایی را از راه دور با سطح دسترسی SYSTEM در سطح دامنه توزیع کند.
همان‌طور که ماه گذشته محققان کراوداسترایک اعلام کردند، گروه باج‌افزاری Magniber از PrintNightmare برای هدف قراردادن قربانیان در کره جنوبی استفاده می‌کنند.
باج‌افزار Magniber پس از آلوده‌سازی سرورهای آسیب‌پذیر به PrintNightmare، یک فایل DLL مبهم‌سازی شده را دریافت و پس از تزریق آن در یک پروسه، فایل‌های موجود در دستگاه را شناسایی و سپس آن‌ها را رمزگذاری می‌کند.
در اوایل فوریه ۲۰۲۱ نیز در جریان انتشار این باج‌افزار، Magniber از طریق Magnitude Exploit Kit از آسیب‌پذیری CVE-۲۰۲۰-۰۹۶۸ در Internet Explorer بر روی دستگاه‌های کاربران کره جنوبی سوء استفاده کردند.
این باج‌افزار در ابتدا، قربانیان خود را در کره جنوبی مورد هدف قرار داده بود، اما بعداً حملات خود را در سراسر جهان گسترش داده و اهداف خود را به کشورهای دیگری از جمله چین، تایوان، هنگ‌کنگ، سنگاپور، مالزی و دیگر کشورها تغییر داد.
باج‌افزار Magniber به طور چشمگیری در ۳۰ روز گذشته فعال بوده و تقریباً ۶۰۰ بار در سایت ID Ransomware به نشانی https://id-ransomware.malwarehunterteam.com ارسال شده است.
در حال حاضر، شواهد موجود حاکی از آن است که گروه باج‌افزاری Magniber تنها با سوء‌استفاده از ضعف امنیتی PrintNightmare قربانیان را به طور گسترده هدف قرار داده است. احتمال داده می‌شود  مهاجمان دیگری نیز به‌زودی از آسیب‌پذیری PrintNightmare برای انتشار کد باج‌افزار خود سوء‌استفاده کنند.
توصیه می‌شود برای ایمن ماندن از این حملات، راهبران دراسرع ‌وقت به نصب اصلاحیه‌های مربوط اقدام کنند و راهکارهای ارائه شده از سوی شرکت مایکروسافت را در دستور کار قرار دهند.
همچنین برخی محققان توصیه کرده‌اند، در سرورهایی که از آنها برای چاپ استفاده نمی‌شود سرویس Windows Print Spooler غیرفعال شود.

منبع: 

https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-printnightmare-to-breach-windows-servers