Бесплатно Экспресс-аудит сайта:

12.05.2022

Злоумышленники совершили более 65 000 атак с помощью PrintNightmare

Если пользователь недавно использовал диспетчер очереди печати Windows, он может стать жертвой взлома.

Согласно новому отчету компании Kaspersky , в период с июля 2021 по апрель 2022 года киберпреступники провели около 65 000 атак с помощью приложения Windows Print Spooler . Кроме того, 31 000 нападений была совершена в первой половине 2022 года. Диспетчер очереди печати используется для управления процессом печати и из-за многочисленных уязвимостей стал целью киберпреступников.

Уязвимости CVE-2021-1675 и CVE-2021-34527 (также известные как PrintNightmare ) были обнаружены из необычного источника, поскольку они были ошибочно опубликованы в качестве доказательства концепции (Proof of concept, PoC) на GitHub для выявления уязвимостей приложения. Пользователи обнаружили ряд серьезных пробелов в приложении. По словам Kaspersky, в прошлом месяце была обнаружена еще одна критическая уязвимость, вызвавшая атаки с помощью получения доступа киберпреступником к корпоративным ресурсам.

После выявления ошибок Microsoft выпустила исправление для остановки атак с PrintNightmare и недавно обнаруженным эксплойтом, но некоторые жертвы атаки не смогли загрузить и внедрить исправление.

«Уязвимости Windows Print Spooler являются распространителями возникающих новых угроз», - сказал исследователь безопасности Kaspersky Алексей Кулаев.

«Мы ожидаем растущего числа попыток получения доступа к ресурсам в корпоративных сетях, сопровождающихся высоким риском заражения вредоносным ПО и кражи данных. С помощью некоторых из этих уязвимостей злоумышленник может получить доступ не только к данным жертв, но и ко всему корпоративному серверу. Поэтому пользователям настоятельно рекомендуется следовать рекомендациям корпорации Microsoft и применять последние обновления для системы безопасности Windows», - добавил Кулаев.

С июля 2021 по апрель 2022 года почти четверть обнаруженных обращений поступила из Италии. Также наиболее активно были атакованы пользователи в Турции и Южной Корее, а за последние четыре месяца атакам были подвержены пользователи в Австрии, Франции и Словении.

Для защиты системы Kaspersky рекомендует пользователям несколько мер безопасности:

  • Часто устанавливать исправления для новых уязвимостей по мере их появления;

  • Проводить регулярный аудит безопасности IT-инфраструктуры организации;

  • спользовать решения для защиты конечных точек и почтовых серверов с возможностями защиты от фишинга;

  • Использовать специальные сервисы для борьбы с крупными атаками;

  • Установить Anti-APT (Advanced Persistent Threat) решения и EDR (Endpoint Detection and Response) для обнаружения и предотвращения угроз

По словам Kaspersky, наилучшим решением является проверка исправлений всех системных уязвимостей. Также необходимо всегда иметь актуальную систему безопасности конечных точек и использовать модель нулевого доверия Zero Trust .