{"id":256675,"date":"2021-08-14T07:34:38","date_gmt":"2021-08-14T05:34:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256675"},"modified":"2021-08-14T10:07:54","modified_gmt":"2021-08-14T08:07:54","slug":"vice-society-2-ransomware-gang-nutzt-windows-printnightmare-schwachstelle-fr-angriffe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/14\/vice-society-2-ransomware-gang-nutzt-windows-printnightmare-schwachstelle-fr-angriffe\/","title":{"rendered":"Vice Society: 2. Ransomware-Gang nutzt Windows PrintNightmare-Schwachstelle für Angriffe"},"content":{"rendered":"

\"Windows\"[English<\/a>]Im Blog-Beitrag Ransomware-Gang nutzt PrintNightmare f\u00fcr Angriffe auf Windows Server<\/a> hatte ich \u00fcber den ersten Fall berichtet, bei dem die PrintNightmare-Schwachstelle f\u00fcr Angriffe auf Windows benutzt wurde. Nun ist Talos Security bereits auf den zweiten Fall gesto\u00dfen und berichtet, dass die Ransomware-Gang Vice Society Systeme ebenfalls \u00fcber die Windows PrintNightmare-Schwachstelle angreift.<\/p>\n

<\/p>\n

\"\"Vice Society ist eine Ransomware, die vermutlich ein Ableger von HelloKitty ist. Die Ransomware kann sowohl Linux-, als auch Windows-Systeme verschl\u00fcsseln. Sicherheitsexperte Michael Gillespie hat Mitte Juni 2021 die ersten Beispiele von Ransomware-Angriffen dieser Gruppe gefunden<\/a>, wie Bleeping Computer hier<\/a> berichtet.<\/p>\n

\"Vice<\/a><\/p>\n

Jetzt scheint die Ransomware-Gang Vice Society ebenfalls die Windows PrintNightmare-Schwachstelle als Hebel f\u00fcr Angriffe auf Windows-Systeme entdeckt zu haben.<\/p>\n

\"Vice<\/a><\/p>\n

In diesem Artikel<\/a> beschreiben die Sicherheitsforscher von Talos, das ein weiterer Bedrohungsakteur die so genannte PrintNightmare-Schwachstelle (CVE-2021-1675 \/ CVE-2021-34527) im Druckspooler-Dienst von Windows aktiv ausnutzt. Die Vice Society-Ransomware verwendet die Schwachstelle, um erh\u00f6hte Privilegien zu erhalten und sich dann im Rahmen eines aktuellen Ransomware-Angriffs seitlich \u00fcber das Netzwerk eines Opfers auszubreiten. W\u00e4hrend fr\u00fchere Untersuchungen ergaben, dass andere Bedrohungsakteure diese Schwachstelle bereits ausgenutzt hatten, scheint dies f\u00fcr den Bedrohungsakteur Vice Society neu zu sein. Darauf deuten die Ergebnisse einer Untersuchung von Cisco Talos Incident Response hin.<\/p>\n

Die Untersuchungen von Talos Incident Response zeigen aber auch, dass mehrere unterschiedliche Bedrohungsakteure die PrintNightmare-Schwachstelle als attraktiv f\u00fcr ihre Angriffe ansehen. Es deutet vieles darauf hin, dass diese Schwachstelle auch in Zukunft von verschiedenen Angreifern genutzt werden wird. F\u00fcr Verteidiger ist es wichtig, den Lebenszyklus eines Angriffs zu verstehen, der zum Einsatz von Ransomware f\u00fchrt. Details zum Angriff sind in diesem Artikel<\/a> nachlesbar.<\/p>\n

Die PrintNightmare-Schwachstelle<\/h2>\n

Anfang Juli 2021 hatte ich im Blog-Beitrag PoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a> erstmals \u00fcber die Schwachstelle CVE-2021-1675 im Windows Print-Spooler berichtet. Es handelt sich um einer Remote Code Execution (RCE) Schwachstelle, \u00fcber die ein Angreifer beliebigen Code mit SYSTEM-Rechten ausf\u00fchren k\u00f6nnte. Dies umfasst Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder l\u00f6schen oder neue Konten mit vollen Benutzerrechten zu erstellen.<\/p>\n

Microsoft versucht seit Anfang Juli 2021 die PrintNightmare-Schwachstelle durch Updates zu beseitigen (siehe Linkliste am Artikelende). Aber nach jedem Patch weisen Sicherheitsforscher nach, dass die PrintNightmare-Schwachstelle unvollst\u00e4ndig gepatcht wurde. Insbesondere die Point-and-Print genannte Funktion, \u00fcber die Nutzer Druckertreiber installieren k\u00f6nnen, l\u00e4sst sich f\u00fcr Angriffe missbrauchen. Vor wenigen Tagen gab es eine neue Sicherheitswarnung durch Microsoft (siehe Windows PrintNightmare, neue Runde mit CVE-2021-36958<\/a>).\u00a0 Microsoft empfiehlt momentan, den Druckerspooler-Dienst wieder zu deaktivieren.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nPoC f\u00fcr Windows Print-Spooler-Schwachstelle \u00f6ffentlich, hohes RCE-Risiko<\/a>
\nWindows Print-Spooler Schwachstelle (CVE-2021-1675, PrintNightmare) von MS best\u00e4tigt; CISA warnt<\/a>
\nNachlese: Das Chaos-PrintNightmare-Notfall-Update (6.\/7.Juli 2021)<\/a>
\nNotfall-Update schlie\u00dft PrintNightmare-Schwachstelle in Windows (6. Juli 2021)<\/a>
\nPrintNightmare-Notfall-Update auch f\u00fcr Windows Server 2012 und 2016 (7. Juli 2021)<\/a>
\nMicrosoft zur PrintNightmare-Schwachstelle CVE-2021-34527: Windows ist nach Patch sicher<\/a>
\nWindows-Schwachstelle PrintNightmare: Es ist noch nicht vorbei (15. Juli 2021)<\/a>
\nPrintNightmare: Point-and-Print erlaubt die Installation beliebiger Dateien<\/a>
\nMicrosoft Defender for Identity kann PrintNightmare-Angriffe erkennen<\/a>
\n0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
\n0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
\nWindows PrintNightmare, neue Runde mit CVE-2021-36958<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Blog-Beitrag Ransomware-Gang nutzt PrintNightmare f\u00fcr Angriffe auf Windows Server hatte ich \u00fcber den ersten Fall berichtet, bei dem die PrintNightmare-Schwachstelle f\u00fcr Angriffe auf Windows benutzt wurde. Nun ist Talos Security bereits auf den zweiten Fall gesto\u00dfen und berichtet, dass … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-256675","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256675"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256675\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}