Microsoftin lukuisista yrityksistä huolimatta jotta PrintNightmaren korjaaminen onnistuu, se ei ole vielä ohi. Nyt toinen Windows 10 PrintNightmare Print Spooler-haavoittuvuus on paljastettu, ja se on houkuttelevat ransomware -hyökkääjiä, jotka haluavat helpon pääsyn järjestelmän käyttöoikeuksiin.
Microsoft julkaisi heinä-ja elokuussa useita korjaustiedostoja haavoittuvuuden korjaamiseksi ja muokkasi prosessia, jolla käyttäjät voivat asentaa uusia tulostinohjaimet. Tutkijat kuitenkin löysivät kiertotien hyökkäyksen käynnistämiseksi uudemman tulostuspohjaisen haavoittuvuuden kautta, nimeltään CVE-2021-36958.
Lähettäjä viesti Microsoftin tietoturvakeskuksessa, Microsoft kuvailee haavoittuvuutta:” Koodin suorittamisen etähaavoittuvuus on olemassa, kun Windows Print Spooler-palvelu suorittaa väärin etuoikeutettuja tiedostooperaatioita. Hyökkääjä, joka on hyödyntänyt tätä haavoittuvuutta, voi suorittaa mielivaltaisen koodin SYSTEM-oikeuksilla. Hyökkääjä voi sitten asentaa ohjelmia; tarkastella, muuttaa tai poistaa tietoja; tai luo uusia tilejä, joilla on täydet käyttöoikeudet. ”
Microsoft luettelee myös haavoittuvuuden kiertotavan” Tulostuspohjapalvelun pysäyttäminen ja poistaminen käytöstä ”. Hyökkääjä tarvitsee järjestelmänvalvojan oikeudet tarvittavien tulostinohjainten asentamiseen; jos ohjain on jo asennettu, tällaisia käyttöoikeuksia ei tarvita tulostimen liittämiseen. Lisäksi asiakkaiden ohjaimia ei tarvitse asentaa, joten haavoittuvuus on edelleen haavoittuva kaikissa tapauksissa, joissa käyttäjä muodostaa yhteyden etätulostimeen.
Ransomware-hyökkääjät hyödyntävät luonnollisesti kaikkia hyödyntää Nukkuvan tietokoneen mukaan. Magniber, ransomware-ryhmä, on äskettäin ilmoittanut CrowdStrike , että se on löydetty yrittäessään hyödyntää korjaamattomia haavoittuvuuksia Etelä-Korean uhreja vastaan.
Microsoftilta tai muualta ei ole vielä tietoa siitä, onko PrintNightmare-haavoittuvuus ollenkaan käsillä. Itse asiassa CrowdStrike arvioi , että PrintNightmare-haavoittuvuus yhdistettynä muut uhkatoimijat käyttävät todennäköisesti edelleen lunnasohjelmia hyväkseen. ”
