CVE-2021-34527 — CVSS: 8.8 (Yüksek)

Windows Print Spooler Uzaktan Kod Yürütme (PrintNightmare) — Print Spooler servisindeki ayrıcalık yükseltme ve RCE.

Zafiyet Detayları

CVE KimliğiCVE-2021-34527
CVSS Puanı8.8 / 10.0 — Yüksek
Yayın Yılı2021
Saldırı VektörüNETWORK
Etkilenen SistemlerWindows 7-10, Server 2008-2019

Bu Zafiyeti Kullanan Malware 패밀리leri

  • LockBit
  • Cl0p
  • Conti
  • REvil
  • BlackBasta

Toplam 5 malware ailesi bu güvenlik açığından yararlanmaktadır.

Zafiyet Açıklaması

Windows Print Spooler Uzaktan Kod Yürütme (PrintNightmare) — Print Spooler servisindeki ayrıcalık yükseltme ve RCE.

Yama ve Azaltma Önerileri

  1. 신뢰도lik güncellemesini derhal uygulayın — NVD: CVE-2021-34527
  2. Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
  3. IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
  4. Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
  5. Yedeklerinizi doğrulayın ve güncel tutun
  6. Etkilenen sistemlerde tehdit avcılığı yapın

MITRE ATT&CK Haritalama

Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.

LockBit — 악성코드 프로필

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
대상 시스템
Windows/Linux
다른 이름 (AKA)
LockBit 3.0

기술 세부 정보

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
cvegüvenlik-açığıhighlockbitcl0pcontirevilblackbasta