Die Kriminellen hinter dem Verschlüsselungstrojaner Vice Society nehmen aktuell Windows-Systeme ins Visier und nutzen die PrintNightmare-Lücken dazu aus, den Erpressungstrojaner auf den angegriffenen Systemen zu installieren. Dort verschlüsselt er dann Daten und fordert Lösegeld für die Entschlüsselung, und Sicherheitspatches sind nur teilweise verfügbar. Das Sicherheitsrisiko für PrintNightmare gilt weiterhin als “hoch”.
Die PrintNightmare-Schwachstellen stecken in der Drucker-Anbindung aller Windows- und Windows-Server-Versionen. Die ersten Angriffe gab es schon Anfang Juli 2021.
Angreifer können ungepatchten Systemen einen präparierten Treiber unterjubeln und nach einem erfolgreichen Angriff Schadcode mit Systemrechten ausführen. Das trifft auch Domain-Controller und deshalb könnten die Angreifer so ganze Netzwerke kompromittieren.
Die ersten PrintNightmare-Lücken hat Microsoft mit Notfallpatches geschlossen. Für eine jüngst entdeckte Schwachstelle (CVE-2021-36958, „hoch“) in der Druckerverwaltung gibt es bisher aber noch keinen Patch.
Deshalb müssen die Admins ihre Systeme zum Beispiel darüber absichern, dass sie den Print-Spooler-Service deaktivieren. Das führt aber dazu, dass man nicht mehr lokal oder über das Netzwerk drucken kann.
Die Angriffe laufen schon
Die Attacken mit dem Erpressungstrojaner entdeckten die Sicherheitsforscher von Cisco Talos. Ihnen zufolge hat die Gruppe bisher vor allem Ausbildungsstätten wie z, B, Schulen in den USA attackiert.
Nach der Verschlüsselung von Dateien drohen die Kriminellen ihren Opfern damit, beim Angriff kopierte Daten zu veröffentlichen. So wollen sie den Druck erhöhen, für die versprochene Entschlüsselung ein Lösegeld zu zahlen. Die Schadsoftware Vice Society soll es auch auf Backups abgesehen haben, damit Opfer nach erfolgreichem Angriff ihre Systeme nicht einfach wiederherstellen können.
Außerdem haben die Forscher beobachtet, dass die Angreifer sich nach dem Abladen des Verschlüsselungstrojaners noch weiter auf den Systemen umsehen und sich beispielsweise auch für gespeicherte Zugangsdaten interessieren.
So wollen sie sich per Lateral Movement auf weitere Systeme auszubreiten. Außerdem gehen die Forscher davon aus, dass auch weitere Angreifer die PrintNightmare-Lücken ins Visier nehmen werden.
Verfügbare Patches jetzt dringend einspielen!
Die Stärke der Angriffswelle ist aktuell noch nicht bekannt. Trotzdem sollten die Admins über Windows Update sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind und die schon verfügbaren PrintNightmare-Patches (CVE-2021-1675 „hoch“, CVE-2021-34527 „hoch“) auch installiert sind.
Wann der Hersteller Microsoft die aktuell noch nicht gepatchte Lücke (CVE-2021-36958) dicht macht, ist ebenfalls noch nicht bekannt. Die Warnmeldung zu der Schwachstelle von Microsoft verweist nur auf den monatlich stattfindenden Patchday. Da der August-Patchday aber gerade erst am letzten Dienstag war, müsste man noch fast einen ganzen Monat lang auf ein Sicherheitsupdate warten.