Les opérateurs de ransomware tels que Magniber et Vice Society exploitent activement les vulnérabilités de Windows Print Spooler pour compromettre les victimes et se propager latéralement sur le réseau d’une victime pour déployer des charges utiles de cryptage de fichiers sur des systèmes ciblés.

« De multiples acteurs de menaces distincts considèrent cette vulnérabilité comme attrayante à utiliser lors de leurs attaques et peuvent indiquer que cette vulnérabilité continuera à être adoptée et incorporée de plus en plus par divers adversaires à l’avenir », Cisco Talos mentionné dans un rapport publié jeudi, corroborant une analyse indépendante de CrowdStrike, qui a observé des cas d’infection par le ransomware Magniber ciblant des entités en Corée du Sud.

Alors que le ransomware Magniber a été repéré pour la première fois fin 2017 en ciblant les victimes en Corée du Sud par le biais de campagnes de publicité malveillante, Vice Society est un nouvel entrant qui a émergé dans le paysage des ransomwares à la mi-2021, ciblant principalement les districts scolaires publics et d’autres établissements d’enseignement. Les attaques auraient eu lieu depuis au moins le 13 juillet.

Depuis juin, une série de problèmes « PrintNightmare » affectant le service de spouleur d’impression Windows est apparu et pourrait permettre l’exécution de code à distance lorsque le composant effectue des opérations de fichier privilégiées –

• CVE-2021-1675 – Vulnérabilité d’exécution de code à distance du spouleur d’impression Windows (correctif le 8 juin)
• CVE-2021-34527 – Vulnérabilité d’exécution de code à distance du spouleur d’impression Windows (correctif du 6 au 7 juillet)
• CVE-2021-34481 – Vulnérabilité d’exécution de code à distance du spouleur d’impression Windows (correctif le 10 août)
• CVE-2021-36936 – Vulnérabilité d’exécution de code à distance du spouleur d’impression Windows (correctif le 10 août)
• CVE-2021-36947 – Vulnérabilité d’exécution de code à distance du spouleur d’impression Windows (correctif le 10 août)
• CVE-2021-34483 – Vulnérabilité d’élévation des privilèges du spouleur d’impression Windows (correctif le 10 août)
• CVE-2021-36958 – Vulnérabilité d’exécution de code à distance du spouleur d’impression Windows (non corrigé)

CrowdStrike a noté qu’il avait réussi à empêcher les tentatives du gang de ransomware Magniber d’exploiter la vulnérabilité PrintNightmare.

Vice Society, d’autre part, a utilisé une variété de techniques pour effectuer une découverte et une reconnaissance post-compromis avant de contourner les protections Windows natives pour le vol d’informations d’identification et l’escalade de privilèges.

Plus précisément, l’attaquant aurait utilisé une bibliothèque malveillante associée à la faille PrintNightmare (CVE-2021-34527) pour basculer vers plusieurs systèmes dans l’environnement et extraire les informations d’identification de la victime.

« Les adversaires affinent constamment leur approche du cycle de vie des attaques de ransomware alors qu’ils s’efforcent de fonctionner de manière plus efficace, efficiente et évasive », ont déclaré les chercheurs. « L’utilisation de la vulnérabilité connue sous le nom de PrintNightmare montre que les adversaires sont très attentifs et intégreront rapidement de nouveaux outils qu’ils trouveront utiles à diverses fins lors de leurs attaques. »