مهاجمان با سوءاستفاده از PrintNightmare، در حال آلودهسازی سرورها به باجافزار Magniber هستند.
به گزارش مرکز مدیریت راهبردی افتا، PrintNightmare به مجموعهای از آسیبپذیریهای امنیتی (با شناسههای CVE-۲۰۲۱-۱۶۷۵ ، CVE-۲۰۲۱-۳۴۵۲۷ و CVE-۲۰۲۱-۳۶۹۵۸) اطلاق میشود که سرویس Windows Print Spooler، راهاندازهای چاپ در Windows و قابلیت Point & Print Windows از آن متأثر میشوند.
مایکروسافت بهروزرسانیهای امنیتی را برای آسیبپذیریها با شناسههای CVE-۲۰۲۱-۱۶۷۵ و CVE-۲۰۲۱-۳۴۵۲۷ در ماههای ژوئن، ژوئیه و آگوست منتشر کرد. این شرکت همچنین با انتشار توصیهنامه زیر، برای ترمیم آسیبپذیری CVE-۲۰۲۱-۳۶۹۵۸ نیز راهکاری را ارائه داده است:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-۲۰۲۱-۳۶۹۵۸
آسیب پذیری CVE-۲۰۲۱-۳۶۹۵۸ یک ضعف امنیتی روز – صفر است که امکان افزایش سطح دسترسی را برای مهاجم فراهم میکند.
مهاجم میتواند از این باگهای امنیتی در جهت افزایش سطح دسترسی محلی (LPE) استفاده کرده یا بدافزارهایی را از راه دور با سطح دسترسی SYSTEM در سطح دامنه توزیع کند.
همانطور که ماه گذشته محققان کراوداسترایک اعلام کردند، گروه باجافزاری Magniber از PrintNightmare برای هدف قراردادن قربانیان در کره جنوبی استفاده میکنند.
باجافزار Magniber پس از آلودهسازی سرورهای آسیبپذیر به PrintNightmare، یک فایل DLL مبهمسازی شده را دریافت و پس از تزریق آن در یک پروسه، فایلهای موجود در دستگاه را شناسایی و سپس آنها را رمزگذاری میکند.
در اوایل فوریه ۲۰۲۱ نیز در جریان انتشار این باجافزار، Magniber از طریق Magnitude Exploit Kit از آسیبپذیری CVE-۲۰۲۰-۰۹۶۸ در Internet Explorer بر روی دستگاههای کاربران کره جنوبی سوء استفاده کردند.
این باجافزار در ابتدا، قربانیان خود را در کره جنوبی مورد هدف قرار داده بود، اما بعداً حملات خود را در سراسر جهان گسترش داده و اهداف خود را به کشورهای دیگری از جمله چین، تایوان، هنگکنگ، سنگاپور، مالزی و دیگر کشورها تغییر داد.
باجافزار Magniber به طور چشمگیری در ۳۰ روز گذشته فعال بوده و تقریباً ۶۰۰ بار در سایت ID Ransomware به نشانی https://id-ransomware.malwarehunterteam.com ارسال شده است.
در حال حاضر، شواهد موجود حاکی از آن است که گروه باجافزاری Magniber تنها با سوءاستفاده از ضعف امنیتی PrintNightmare قربانیان را به طور گسترده هدف قرار داده است. احتمال داده میشود مهاجمان دیگری نیز بهزودی از آسیبپذیری PrintNightmare برای انتشار کد باجافزار خود سوءاستفاده کنند.
توصیه میشود برای ایمن ماندن از این حملات، راهبران دراسرع وقت به نصب اصلاحیههای مربوط اقدام کنند و راهکارهای ارائه شده از سوی شرکت مایکروسافت را در دستور کار قرار دهند.
همچنین برخی محققان توصیه کردهاند، در سرورهایی که از آنها برای چاپ استفاده نمیشود سرویس Windows Print Spooler غیرفعال شود.
منبع:
دیدگاه شما