{"id":256627,"date":"2021-08-12T18:47:34","date_gmt":"2021-08-12T16:47:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256627"},"modified":"2021-08-12T22:00:47","modified_gmt":"2021-08-12T20:00:47","slug":"ransomware-gang-nutzt-printnightmare-fr-angriffe-auf-windows-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/12\/ransomware-gang-nutzt-printnightmare-fr-angriffe-auf-windows-server\/","title":{"rendered":"Ransomware-Gang nutzt PrintNightmare für Angriffe auf Windows Server"},"content":{"rendered":"

\"Windows\"[English<\/a>]Es ist passiert, es gibt den ersten Fall, bei dem eine Ransomware-Gang die Windows PrintNightmare-Schwachstelle f\u00fcr Angriffe auf Windows Server nutzt. Im Juli 2021 konnte der Sicherheitsanbieter Crowdstrike einen Ransomware-Angriff auf ein Ziel in S\u00fcdkorea vereiteln. Bei der Auswertung stellten die Sicherheitsforscher fest, dass die Magniber-Ransomware-Gang versuchte, die Schwachstelle (CVE-2021-34527) auszunutzen.<\/p>\n

<\/p>\n

\"\"CrowdStrike<\/a> ist ein Sicherheitsanbieter, der einen Cloud-basierenden Ger\u00e4teschutz bereitstellt. Als die Sicherheitsl\u00fccke PrintNightmare<\/em> (CVE-2021-34527) \u00f6ffentlich bekannt wurde, vermutete der Sicherheitsanbieter CrowdStrike, dass diese Sicherheitsl\u00fccke wahrscheinlich von Bedrohungsakteuren ausgenutzt werden wird. Denn die Schwachstellen bietet die M\u00f6glichkeit zur Remotecodeausf\u00fchrung (RCE) und zur lokalen Rechteerweiterung (LPE). Diese Einsch\u00e4tzung hat sich nun als richtig erwiesen. In nachfolgendem Tweet<\/a> weist der Anbieter auf einen vereitelten Ransomware-Angriff, der die Schwachstelle ausnutzt, hin.<\/p>\n

<\/a><\/p>\n

Die Sicherheitsforscher von CrowdStrike beobachteten k\u00fcrzlich neue Aktivit\u00e4ten im Zusammenhang mit einer Ransomware-Familie aus dem Jahr 2017, bekannt unter dem Namen Magniber. Die CrowdStrike-Sicherheitsl\u00f6sung erkannte und verhinderte am 13. Juli 2021 einen Angriff einer Schadsoftware auf Opfer in S\u00fcdkorea. Die Schadsoftware versuchte, die PrintNightmare-Schwachstelle auf Windows Server-Systemen auszunutzen. Die Sicherheitssoftware schritt aber ein, bevor eine Verschl\u00fcsselung stattfand, schreibt das Unternehmen in diesem Blog-Beitrag<\/a>.<\/p>\n

Laut Unternehmen bietet die CrowdStrike Falcon\u00ae-Plattform einen mehrschichtigen Schutz vor Bedrohungen, indem sie maschinelles Lernen (auf dem Sensor und in der Cloud) und Angriffsindikatoren (Indicators of Attack, IOAs) einsetzt, um b\u00f6sartige Prozesse oder Dateien zu identifizieren, die mit bekannten oder unbekannten Bedrohungen in Verbindung stehen, und dabei auf die Taktiken und Techniken abzielt, die von Angreifern zur Kompromittierung von Endpunkten verwendet werden. Diese Strategie hat wohl den erfolgreichen Angriff verhindert.<\/p><\/blockquote>\n

Zur PrintNightmare-Schwachstelle hatte ich ja einiges hier im Blog geschrieben (siehe Links am Artikelende). Interessant ist die Timeline der PrintNightmare-Schwachstelle, die CrowStrike in seinem Blog-Beitrag ver\u00f6ffentlicht hat.<\/p>\n