image

PrintNightmare-lek gebruikt voor verspreiding van ransomware

donderdag 12 augustus 2021, 12:29 door Redactie, 3 reacties

Criminelen hebben de PrintNightmare-kwetsbaarheid in Windows gebruikt voor het aanvallen van Zuid-Koreaanse organisaties met ransomware. Dat stelt securitybedrijf CrowdStrike. Hoewel PrintNightmare eerst voor één beveiligingslek werd gebruikt, wordt er nu een verzameling van kwetsbaarheden in de Windows Print Spooler-service mee aangeduid.

Via de beveiligingslekken kan een aanvaller op afstand willekeurige code uitvoeren of op een al gecompromitteerd systeem systeemrechten krijgen. Microsoft heeft inmiddels verschillende beveiligingsupdates uitgebracht. CrowdStrike meldt in een blogposting dat het op 13 juli zag hoe de criminelen achter de Magniber-ransomware één van de PrintNightmare-lekken gebruikten bij aanvallen op Zuid-Koreaanse organisaties.

Bij de aanvallen schreven de aanvallers een malafide 'printerdriver' naar het systeem die vervolgens door de Spooler-service werd uitgevoerd. In werkelijkheid kon zo de ransomware worden geladen. Microsoft waarschuwde gisteren voor een nieuwe kwetsbaarheid in de Windows Print Spooler waarvoor nog geen update beschikbaar is. Als oplossing wordt aangeraden de service uit te schakelen, maar dit zorgt ervoor dat het systeem niet meer kan printen.

Reacties (3)
12-08-2021, 13:53 door walmare
En zo wisselen de fixes en de gaten elkaar af. Hoe lang duurt het nog voordat Microsoft de handoek in de ring gooit, voordat alle klanten zijn versleuteld?
12-08-2021, 19:40 door Anoniem
Printer down of company down.. is wel even een verschilletje.

En MS met haar vele Miljoenen Security developers zullen er vast snel een oplossing voor hebben.

Vooralsnog
1) Heeft de premier support (als die rolnog bestaat) wat te doen en druk zetten op MS en een verwachte solution datum vragen
2) Risico afweging maken, impact blablabla

3) Simultaan:
-a- Spooler service(s) stoppen.
-b- Simultaan een noodoplossing vinden.
-c- Noodprintservers maken op een gescheiden netwerk via netwerkhardware...
-d- virtuele kopien maken van die noodprintservers, gaat er 1 onderuit in dat gescheiden netwerk hup start je een ander op klaar
-d- Instructies maken voor gebruikers en klanten informeren dat het allemaal wat langer duurt.
-e- Dan maar wat minder mooi en frequent printwerk.

4) Je contract met MS eens goed nakijken in hoeverre zij voor schade verantwoordelijk zijn (zero z.w.s.) want intussen zijn er allang wat klanten besmet.

5) Je goed afvragen of je dit in de toekomst ook wel zo wil.

Zo moeilijk is het allemaal niet ..hatseflats.

IT was een schaar toch? Tegenwoordig is het een Single point of failure geworden.

Helemaal lullig wanneer printen via MS solutions, een kernprodukt is.
13-08-2021, 08:52 door Anoniem
Door Anoniem: Printer down of company down.. is wel even een verschilletje.

En MS met haar vele Miljoenen Security developers zullen er vast snel een oplossing voor hebben.

Vooralsnog
1) Heeft de premier support (als die rolnog bestaat) wat te doen en druk zetten op MS en een verwachte solution datum vragen
2) Risico afweging maken, impact blablabla

3) Simultaan:
-a- Spooler service(s) stoppen.
-b- Simultaan een noodoplossing vinden.
-c- Noodprintservers maken op een gescheiden netwerk via netwerkhardware...
-d- virtuele kopien maken van die noodprintservers, gaat er 1 onderuit in dat gescheiden netwerk hup start je een ander op klaar
-d- Instructies maken voor gebruikers en klanten informeren dat het allemaal wat langer duurt.
-e- Dan maar wat minder mooi en frequent printwerk.

4) Je contract met MS eens goed nakijken in hoeverre zij voor schade verantwoordelijk zijn (zero z.w.s.) want intussen zijn er allang wat klanten besmet.

5) Je goed afvragen of je dit in de toekomst ook wel zo wil.

Zo moeilijk is het allemaal niet ..hatseflats.

IT was een schaar toch? Tegenwoordig is het een Single point of failure geworden.

Helemaal lullig wanneer printen via MS solutions, een kernprodukt is.

Hier heb je een AV voor toch?
Om de eerste uren te kunnen mitigeren voor patchen.
Printers uit in een business is voor sommige sectoren funest, dit hangt natuurlijk af van de beschikbaarheid classificatie :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.