Les experts de Kaspersky prévoient une croissance du nombre d’attaques visant la vulnérabilité PrintNightmare

0

La semaine dernière, des chercheurs ont accidentellement publié l’expérimentation d’un exploit révélant une vulnérabilité critique du Windows Print Spooler, également connue sous le nom de PrintNightmare. Bien que l’exploit ait été rapidement retiré de GitHub, certains utilisateurs ont néanmoins réussi à le télécharger et à le repartager. 

PrintNightmare peut donc être utilisé par des cybercriminels avec un compte utilisateur normal, pour prendre le contrôle d’un serveur ou d’une machine cliente vulnérable qui utilise le service Windows Print Spooler. Cela donne à l’attaquant une opportunité de distribuer et d’installer des programmes malveillants sur l’ordinateur de la victime (y compris les contrôleurs de domaine vulnérables), mais aussi de voler des données stockées et de créer de nouveaux comptes avec tous les droits d’utilisateur. 

Suite à la publication de la première version de l’expérimentation, des chercheurs se sont mis à publier d’autres versions de l’exploit. La vulnérabilité PrintNightmare est également susceptible d’être exploitée dans de nouveaux modules disponibles sur des plateformes, tels que Mimikatz et Metasploit. Par conséquent, les experts de Kaspersky prévoient un nombre croissant de tentatives d’accès aux ressources des entreprises à l’aide de l’exploit PrintNightmare, accompagné d’un risque élevé d’infection par ransomware et de vol de données. 

« Cette faille est en effet très sérieuse car elle permet aux cybercriminels d’accéder à d’autres ordinateurs au sein du réseau d’une organisation. Comme l’exploit est publiquement accessible, de nombreux fraudeurs en tireront parti. Par conséquent, nous invitons tous les utilisateurs à appliquer les dernières mises à jour de sécurité pour Windows« , commente Evgeny Lopatin, expert en sécurité chez Kaspersky. 

Les produits Kaspersky protègent contre les attaques exploitant ces vulnérabilités et détectent l’implant malveillant sous les formes suivantes : 

  • HEUR:Exploit.Win32.CVE-2021-1675.* 
  • HEUR:Exploit.Win32.CVE-2021-34527.* 
  • HEUR:Exploit.MSIL.CVE-2021-34527.* 
  • HEUR:Exploit.Script.CVE-2021-34527.* 
  • HEUR:Trojan-Dropper.Win32.Pegazus.gen 
  • PDM:Exploit.Win32.Generic 
  • PDM:Trojan.Win32.Generic 
  • Exploit.Win32.CVE-2021-1675.* 
  • Exploit.Win64.CVE-2021-1675.* 

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.