曾感染台湾的勒索软件Magniber正在开采PrintNightmare漏洞

Windows PrintNightmare漏洞正成为骇客界的最爱。随着PrintNightmare漏洞愈来愈多，研究人员近日发现一只过去曾感染台湾用户的勒索软件Magniber，也将之纳入新的攻击目标。

近2个月Windows打印多工缓冲处理器（Print Spooler）不断被揭露有大大小小的漏洞。从6月中起的CVE-2021-1675、7月初的CVE-2021-34527，到上周Patch Tuesday修补的CVE-2021-36936，它们都能让骇客扩充本地权限而以系统权限执行程式码。其中滥用Print Spooler服务组态及Windows Point and Print政策，而使攻击者借由上传恶意驱动程式开采，造成以系统权限执行任意程式码，甚至远端执行者，微软才会将之列为Printnightmare。

原本PrintNightmare仅指CVE-2021-1675和CVE-2021-34527。不过上周Patch Tuesday之后又爆出了CVE-2021-36958，是微软证实的第三个PrintNightmare。微软上周仅能提供缓解建议，因为修补程式还在赶制中。

但是安全厂商Crowdstrike发现骇客已经利用勒索程式Magniber磨刀霍霍。

CrowdStrike威胁研究与通报中心总监Liviu Arsene指出，Magniber首见于2017年，利用现成开采工具Magnitude EK，透过恶意广告、恶意或被骇网站下载感染韩国用户。但BleepingComputer报导Magniber 2018年也扩及其他亚洲地区，包括台湾、香港、中国、新加坡、马来西亚等地。

同时间Magniber使用的漏洞也正在增加。这只勒索软件开采最多的漏洞是Internet Explorer（IE）漏洞CVE-2018-8174、CVE-2021-26411、CVE-2020-0968、 CVE-2019-1367或Adobe Flash漏洞CVE-2018-8174，直到2021年初，研究人员还侦测到它开采CVE-2020-0968。

但是近日CrowdStrike发现Magniber已开始瞄准PrintNightmare。安全研究小组侦测到一个实际开采PrintNightmare的恶意Dll，它进入用户系统、载入spoolsv.exe行程后即写入\\Device\\HarddiskVolume2\\Windows\\System32\\spool\\DRIVERS\\x64\\3\\New\\资料夹。这只Dll即和Magniber勒索程式有关，负责协助后者的核心Dll注入远端行程。

研究人员指出，虽然这项发现颇令人惊讶，但是以PrintNightmare漏洞的影响，又可想而知，而且也有多个概念验证程式已在网络流传。因此真正下载恶意程式码的开采也只是时间早晚而已。