PrintNightmare: Hackers estão explorando vulnerabilidade do Windows Print Spooler

Grupos por trás de ransomwares como Magniber e Vice Society estão explorando ativamente vulnerabilidades no Windows Print Spooler para comprometer empresas e corporações, se espalhar lateralmente pela rede e instalar malwares de criptografia de arquivos nos sistemas.



LEIA TAMBÉM: Ao menos 69 empresas brasileiras foram vítimas de ransomware com resgates de até R$ 50 mi


Pesquisadores da Cisco Talos publicaram um relatório em que dizem:

O uso da vulnerabilidade conhecida como PrintNightmare mostra que os adversários estão prestando muita atenção e irão incorporar rapidamente novas ferramentas que consideram úteis para vários fins durante seus ataques.
Vários agentes de ameaças distintos estão se aproveitando do PrintNightmare, e essa adoção provavelmente continuará a aumentar enquanto for eficaz.

O grupo por trás do ransomware Magniber, que está ativo desde 2017, está explorando as vulnerabilidades do PrintNightmare. O Magniber inicialmente usou uma estratégia de malvertising para espalhar ataques e depois passou a aproveitar vulnerabilidades de segurança em softwares sem atualizações como o Internet Explorer e Flash. A maioria dos casos tem acontecido na Coreia do Sul.


Desde junho, uma série de problemas "PrintNightmare" tem afetado o serviço de spooler de impressão do Windows:


  • CVE-2021-1675 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 8 de junho)

  • CVE-2021-34527 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 6 a 7 de julho)

  • CVE-2021-34481 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 10 de agosto)

  • CVE-2021-36936 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 10 de agosto)

  • CVE-2021-36947 - Vulnerabilidade de execução remota de código no Windows Print Spooler (corrigida em 10 de agosto)

  • CVE-2021-34483 - Vulnerabilidade de elevação de privilégio no Windows Print Spooler (corrigida em 10 de agosto)

  • CVE-2021-36958 - Vulnerabilidade de execução remota no Windows Print Spooler (sem patch/atualização)


SAIBA MAIS: Ransomware: Qual a melhor estratégia para lidar com ataques?

gif

É provável que outros grupos de cibercriminosos continuem a explorar o PrintNightmare, portanto, a melhor defesa é garantir que seus sistemas estejam sempre atualizados com a última versão. Conforme Liviu Arsene, diretor de pesquisa e relatórios de ameaças da Crowdstrike, afirma:


A vulnerabilidade PrintNightmare junto com a implantação de ransomware provavelmente continuará a ser explorada por outros cibercriminosos.
Nós encorajamos as organizações a sempre aplicar os patches e atualizações de segurança mais recentes para mitigar vulnerabilidades conhecidas e aderir às melhores práticas de segurança para fortalecer sua postura de segurança contra ameaças e adversários sofisticados.

Fontes: ZDNet e The Hacker News

Conte com a International IT e a OPSWAT para trazer para sua empresa o MetaAccess, uma solução avançada, robusta e segura de Endpoint Compliance.

Conheça nossas outras soluções e serviços: NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

Posts recentes

Ver tudo