Les opérateurs de ransomware ont ajouté les exploits PrintNightmare à leur arsenal et ciblent les serveurs Windows pour déployer les charges utiles du ransomware Magniber.

PrintNightmare est une classe de vulnérabilités de sécurité (suivies comme CVE-2021-1675, CVE-2021-34527 et CVE-2021-36958) affectant le service Windows Print Spooler, les pilotes d’impression Windows et la fonctionnalité Pointer et imprimer de Windows.

Microsoft a publié des mises à jour de sécurité pour traiter CVE-2021-1675 et CVE-2021-34527 en juin, juillet et août.

La société a également publié mercredi un avis de sécurité fournissant une solution de contournement pour CVE-2021-36958 (un bogue zero-day permettant une élévation des privilèges, sans correctif disponible).

Les acteurs de la menace peuvent utiliser ces failles de sécurité dans l’élévation des privilèges locaux (LPE) ou distribuer des logiciels malveillants en tant qu’administrateurs de domaine Windows via l’exécution de code à distance (RCE) avec des privilèges SYSTEM.

Le ransomware utilise désormais les exploits PrintNightmare

Et, comme les chercheurs de Crowdstrike l’ont découvert le mois dernier, le gang de ransomware Magniber utilise désormais les exploits PrintNightmare à ces fins précises dans les attaques contre les victimes sud-coréennes.

« Le 13 juillet, CrowdStrike a réussi à détecter et à empêcher les tentatives d’exploitation de la vulnérabilité PrintNightmare, protégeant ainsi les clients avant tout cryptage », a déclaré Liviu Arsene, directeur de la recherche et des rapports sur les menaces chez Crowdstrike.

Après avoir compromis des serveurs non corrigés contre PrintNightmare, Magniber supprime un chargeur de DLL obscurci, qui est d’abord injecté dans un processus, puis décompressé pour effectuer une traversée des fichiers locaux et crypter les fichiers sur le périphérique compromis.

Début février 2021, Crowdstrike a observé que Magniber était livré via Magnitude EK sur des appareils sud-coréens exécutant Internet Explorer sans correctif contre la vulnérabilité CVE-2020-0968.

Le ransomware Magniber est actif depuis octobre 2017, lorsqu’il était déployé par le biais de publicités malveillantes à l’aide du Magnitude Exploit Kit…