JARIRIYAWAT / Shutterstock.com
Trots Microsofts många försök att framgångsrikt patcha PrintNightmare är det fortfarande inte över. Nu har en annan Windows 10 PrintNightmare Print Spooler-sårbarhet avslöjats, och den lockar angripare med ransomware som letar efter enkel tillgång till systemprivilegier.
Microsoft släppte flera patchar under juli och augusti för att åtgärda sårbarheten och justerade processen genom vilken användare kan installera nya skrivardrivrutiner. Men forskare hittade fortfarande en lösning för att starta en attack genom en nyare Print Spooler-sårbarhet, kallad CVE-2021-36958.
Från ett inlägg i Microsoft Security Response Center beskriver Microsoft sårbarheten: "En sårbarhet för fjärrkörning av kod finns när Windows Print Spooler-tjänsten utför privilegierade filoperationer felaktigt. En angripare som lyckades utnyttja denna sårbarhet kan köra godtycklig kod med SYSTEM-behörighet. En angripare kan sedan installera program; visa, ändra eller radera data; eller skapa nya konton med fullständiga användarrättigheter."
Microsoft listar också lösningen för sårbarheten som "stoppa och inaktivera Print Spooler-tjänsten." Angriparen kommer att behöva administratörsbehörighet för att installera nödvändiga skrivardrivrutiner; Om en drivrutin redan är installerad är sådana privilegier dock inte nödvändiga för att ansluta en skrivare. Dessutom krävs inte att drivrutiner på klienter installeras, så sårbarheten förblir, ja, sårbar i alla fall där en användare ansluter till en fjärrskrivare.
Ransomware-angripare, naturligtvis, drar full nytta av utnyttjandet, enligt Bleeping Computer. Magniber, en ransomware-grupp, rapporterades nyligen av CrowdStrike för att ha upptäckts i ett försök att utnyttja de olappade sårbarheterna mot sydkoreanska offer.
Det finns ännu inga ord – från Microsoft eller någon annanstans – om huruvida PrintNightmare-sårbarheten överhuvudtaget är i handen. Faktum är att CrowdStrike uppskattar "att PrintNightmare-sårbarheten tillsammans med utplaceringen av ransomware sannolikt kommer att fortsätta att utnyttjas av andra hotaktörer."
via Windows Central