Criminelen hebben de PrintNightmare-kwetsbaarheid in Windows gebruikt voor het aanvallen van Zuid-Koreaanse organisaties met ransomware. Dat stelt securitybedrijf CrowdStrike. Hoewel PrintNightmare eerst voor één beveiligingslek werd gebruikt, wordt er nu een verzameling van kwetsbaarheden in de Windows Print Spooler-service mee aangeduid.
Via de beveiligingslekken kan een aanvaller op afstand willekeurige code uitvoeren of op een al gecompromitteerd systeem systeemrechten krijgen. Microsoft heeft inmiddels verschillende beveiligingsupdates uitgebracht. CrowdStrike meldt in een blogposting dat het op 13 juli zag hoe de criminelen achter de Magniber-ransomware één van de PrintNightmare-lekken gebruikten bij aanvallen op Zuid-Koreaanse organisaties.
Bij de aanvallen schreven de aanvallers een malafide 'printerdriver' naar het systeem die vervolgens door de Spooler-service werd uitgevoerd. In werkelijkheid kon zo de ransomware worden geladen. Microsoft waarschuwde gisteren voor een nieuwe kwetsbaarheid in de Windows Print Spooler waarvoor nog geen update beschikbaar is. Als oplossing wordt aangeraden de service uit te schakelen, maar dit zorgt ervoor dat het systeem niet meer kan printen.
Deze posting is gelocked. Reageren is niet meer mogelijk.