使用PrintNightmare漏洞攻击Windows的案例。现在Talos Security已经遇到第二个案例，报告说Vice Society勒索软件团伙也在利用Windows PrintNightmare漏洞攻击系统。

　　Vice Society sa 勒索软件，据信是 HelloKitty 的一个分支。勒索软件可以加密 Linux 和 Windows 系统。正如 Bleeping Computer在此处报道的那样，勒索软件专家 Michael Gillespie在 2021 年 6 月中旬发现了来自该组织的勒索软件攻击的第一个例子。

　　现在，Vice Society 勒索软件团伙似乎也发现了 Windows PrintNightmare 漏洞作为攻击 Windows 系统的杠杆。

　　Talos 安全研究人员描述了另一个威胁参与者正在积极利用 Windows 打印后台处理程序服务中所谓的 PrintNightmare 漏洞 (CVE-2021-1675 / CVE-2021-34527)。Vice Society 勒索软件利用该漏洞获得更高的权限，然后作为近期勒索软件攻击的一部分在受害者的网络中横向传播。虽然之前的研究发现其他威胁行为者已经利用了这个漏洞，但这对 Vice Society 威胁行为者来说似乎是新的。思科 Talos 事件响应调查的结果表明了这一点。

　　然而，Talos Incident Response 的研究还表明，几个不同的威胁参与者发现 PrintNightmare 漏洞对他们的攻击很有吸引力。有大量证据表明，该漏洞未来将继续被各种攻击者利用。防御者了解导致使用勒索软件的攻击的生命周期非常重要。可以在本文中阅读攻击的详细信息。

　　PrintNightmare 漏洞

　　2021年7月上旬，我在博文PoC for Windows print spooler漏洞公开，高RCE风险中首次报告了CVE-2021-1675漏洞。这是一个远程代码执行 (RCE) 漏洞，可能允许攻击者以 SYSTEM 权限执行任意代码。这包括安装程序、查看、修改或删除数据，或创建具有完全用户权限的新帐户。

　　自 2021 年 7 月开始以来，icrosoft 一直在尝试通过更新来修复 PrintNightmare 漏洞(请参阅文章末尾的链接列表)。但是在每个补丁之后，安全研究人员都证明 PrintNightmare 漏洞没有得到完整的补丁。特别是，允许​​用户安装打印机驱动程序的名为 Point-and-Print 的功能可能会被滥用以进行攻击。几天前，微软发布了新的安全警告(参见Windows PrintNightmare, next round with CVE-2021-36958)。Microsoft 当前建议再次禁用打印机后台处理程序服务。

　　相关阅读：

　　如何修复windows10上的PrintNightmare

　　发布Windows10 KB5004945紧急更新以修复 PrintNightmare