PrintNightmare-lek gebruikt voor verspreiding van ransomware
Criminelen hebben de PrintNightmare-kwetsbaarheid in Windows gebruikt voor het aanvallen van Zuid-Koreaanse organisaties met ransomware. Dat stelt securitybedrijf CrowdStrike. Hoewel PrintNightmare eerst voor één beveiligingslek werd gebruikt, wordt er nu een verzameling van kwetsbaarheden in de Windows Print Spooler-service mee aangeduid.
Via de beveiligingslekken kan een aanvaller op afstand willekeurige code uitvoeren of op een al gecompromitteerd systeem systeemrechten krijgen. Microsoft heeft inmiddels verschillende beveiligingsupdates uitgebracht. CrowdStrike meldt in een blogposting dat het op 13 juli zag hoe de criminelen achter de Magniber-ransomware één van de PrintNightmare-lekken gebruikten bij aanvallen op Zuid-Koreaanse organisaties.
Bij de aanvallen schreven de aanvallers een malafide 'printerdriver' naar het systeem die vervolgens door de Spooler-service werd uitgevoerd. In werkelijkheid kon zo de ransomware worden geladen. Microsoft waarschuwde gisteren voor een nieuwe kwetsbaarheid in de Windows Print Spooler waarvoor nog geen update beschikbaar is. Als oplossing wordt aangeraden de service uit te schakelen, maar dit zorgt ervoor dat het systeem niet meer kan printen.
En MS met haar vele Miljoenen Security developers zullen er vast snel een oplossing voor hebben.
Vooralsnog
1) Heeft de premier support (als die rolnog bestaat) wat te doen en druk zetten op MS en een verwachte solution datum vragen
2) Risico afweging maken, impact blablabla
3) Simultaan:
-a- Spooler service(s) stoppen.
-b- Simultaan een noodoplossing vinden.
-c- Noodprintservers maken op een gescheiden netwerk via netwerkhardware...
-d- virtuele kopien maken van die noodprintservers, gaat er 1 onderuit in dat gescheiden netwerk hup start je een ander op klaar
-d- Instructies maken voor gebruikers en klanten informeren dat het allemaal wat langer duurt.
-e- Dan maar wat minder mooi en frequent printwerk.
4) Je contract met MS eens goed nakijken in hoeverre zij voor schade verantwoordelijk zijn (zero z.w.s.) want intussen zijn er allang wat klanten besmet.
5) Je goed afvragen of je dit in de toekomst ook wel zo wil.
Zo moeilijk is het allemaal niet ..hatseflats.
IT was een schaar toch? Tegenwoordig is het een Single point of failure geworden.
Helemaal lullig wanneer printen via MS solutions, een kernprodukt is.
En MS met haar vele Miljoenen Security developers zullen er vast snel een oplossing voor hebben.
Vooralsnog
1) Heeft de premier support (als die rolnog bestaat) wat te doen en druk zetten op MS en een verwachte solution datum vragen
2) Risico afweging maken, impact blablabla
3) Simultaan:
-a- Spooler service(s) stoppen.
-b- Simultaan een noodoplossing vinden.
-c- Noodprintservers maken op een gescheiden netwerk via netwerkhardware...
-d- virtuele kopien maken van die noodprintservers, gaat er 1 onderuit in dat gescheiden netwerk hup start je een ander op klaar
-d- Instructies maken voor gebruikers en klanten informeren dat het allemaal wat langer duurt.
-e- Dan maar wat minder mooi en frequent printwerk.
4) Je contract met MS eens goed nakijken in hoeverre zij voor schade verantwoordelijk zijn (zero z.w.s.) want intussen zijn er allang wat klanten besmet.
5) Je goed afvragen of je dit in de toekomst ook wel zo wil.
Zo moeilijk is het allemaal niet ..hatseflats.
IT was een schaar toch? Tegenwoordig is het een Single point of failure geworden.
Helemaal lullig wanneer printen via MS solutions, een kernprodukt is.
Hier heb je een AV voor toch?
Om de eerste uren te kunnen mitigeren voor patchen.
Printers uit in een business is voor sommige sectoren funest, dit hangt natuurlijk af van de beschikbaarheid classificatie :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
