Windows PrintNightmare漏洞正成為駭客界的最愛。隨著PrintNightmare漏洞愈來愈多,研究人員近日發現一隻過去曾感染臺灣用戶的勒索軟體Magniber,也將之納入新的攻擊目標。

近2個月Windows列印多工緩衝處理器(Print Spooler)不斷被揭露有大大小小的漏洞。從6月中起的CVE-2021-1675、7月初的CVE-2021-34527,到上周Patch Tuesday修補的CVE-2021-36936,它們都能讓駭客擴充本地權限而以系統權限執行程式碼。其中濫用Print Spooler服務組態及Windows Point and Print政策,而使攻擊者藉由上傳惡意驅動程式開採,造成以系統權限執行任意程式碼,甚至遠端執行者,微軟才會將之列為Printnightmare。

原本PrintNightmare僅指CVE-2021-1675和CVE-2021-34527。不過上周Patch Tuesday之後又爆出了CVE-2021-36958,是微軟證實的第三個PrintNightmare。微軟上周僅能提供緩解建議,因為修補程式還在趕製中。

但是安全廠商Crowdstrike發現駭客已經利用勒索程式Magniber磨刀霍霍。

CrowdStrike威脅研究與通報中心總監Liviu Arsene指出,Magniber首見於2017年,利用現成開採工具Magnitude EK,透過惡意廣告、惡意或被駭網站下載感染南韓用戶。但BleepingComputer報導Magniber 2018年也擴及其他亞洲地區,包括臺灣、香港、中國、新加坡、馬來西亞等地。

同時間Magniber使用的漏洞也正在增加。這隻勒索軟體開採最多的漏洞是Internet Explorer(IE)漏洞CVE-2018-8174、CVE-2021-26411、CVE-2020-0968、 CVE-2019-1367或Adobe Flash漏洞CVE-2018-8174,直到2021年初,研究人員還偵測到它開採CVE-2020-0968。

但是近日CrowdStrike發現Magniber已開始瞄準PrintNightmare。安全研究小組偵測到一個實際開採PrintNightmare的惡意Dll,它進入用戶系統、載入spoolsv.exe行程後即寫入\Device\HarddiskVolume2\Windows\System32\spool\DRIVERS\x64\3\New\資料夾。這隻Dll即和Magniber勒索程式有關,負責協助後者的核心Dll注入遠端行程。

研究人員指出,雖然這項發現頗令人驚訝,但是以PrintNightmare漏洞的影響,又可想而知,而且也有多個概念驗證程式已在網路流傳。因此真正下載惡意程式碼的開採也只是時間早晚而已。

熱門新聞

Advertisement