ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

Windows印刷スプーラーサービス ゼロデイ脆弱性 PrintNightmare 悪用確認済で注意 GPOによる回避策

Windows印刷スプーラーサービス ゼロデイ脆弱性 PrintNightmareが発見された問題で、すでに悪用確認済で注意が必要です。

 

このサービスを使っているのは当然多いので、業務影響ありのひどい脆弱性ですね。マイクロソフトも以前のパッチで解消したとしていたそうですが、実はそうではないとのことで、業界騒然です。

 

ゼロデイ脆弱性なので、当然、ウイルス対策ソフトも効果がありませんので、マイクロソフトの公開している方法で、暫定対処するしかありません。

 

情報元はこちら。

Security Update Guide - Microsoft Security Response Center

 

Windows Print Spooler Remote Code Execution Vulnerability
CVE-2021-34527

 

セキュリティ上の脆弱性
リリース日: 2021/07/01 Last updated: 2021年7月3日

 

CVSS:3.0 8.8 / 8.2

 

 

攻撃元区分 ネットワーク
攻撃条件の複雑さ 低
必要な特権レベル 低
ユーザー関与レベル なし
スコープ 変更なし
機密性 高
整合性 容易に攻撃可能
可用性 高

攻撃される可能性 攻撃可能
利用可能な対策のレベル 暫定
脆弱性情報の信頼性 確認済み

 

概要

Microsoftは、Windows Print Spoolerに影響を与えるリモートコード実行の脆弱性を認識して調査しており、この脆弱性にCVE-2021-34527を割り当てています。これは進化する状況であり、より多くの情報が利用可能になり次第、CVEを更新します。

Windows Print Spoolerサービスが特権ファイル操作を不適切に実行すると、リモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功した攻撃者は、SYSTEM権限で任意のコードを実行する可能性があります。その後、攻撃者はプログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全なユーザー権限で新しいアカウントを作成します。

攻撃には、RpcAddPrinterDriverEx()を呼び出す認証済みユーザーが関与する必要があります。

2021年6月8日にリリースされたセキュリティ更新プログラムを適用していることを確認してください。この脆弱性からシステムを保護する方法については、このCVEのFAQと回避策のセクションを参照してください。

 

 

回避策

PrintSpoolerサービスが実行されているかどうかを確認します

以下を実行します。

> Get-Service -Name Spooler

 

印刷スプーラーが実行されている場合、またはサービスが無効に設定されていない場合は、次のいずれかのオプションを選択して、印刷スプーラーサービスを無効にするか、グループポリシーを使用してインバウンドリモート印刷を無効にします。

 

オプション1-印刷スプーラーサービスを無効にする

印刷スプーラーサービスを無効にすることが企業にとって適切である場合は、次のPowerShellコマンドを使用します。

>Stop-Service -Name Spooler -Force

>Set-Service -Name Spooler -StartupType Disabled

 

回避策の影響

PrintSpoolerサービスを無効にすると、ローカルとリモートの両方で印刷する機能が無効になります。

 

オプション2-グループポリシーを使用してインバウンドリモート印刷を無効にする

次のように、グループポリシーを介して設定を構成することもできます。

コンピューターの構成/管理用テンプレート/プリンター

「印刷スプーラーにクライアント接続の受け入れを許可する:」ポリシーを無効にして、リモート攻撃をブロックします。

 

グループポリシーを有効にするには、印刷スプーラーサービスを再起動する必要があります。

 

回避策の影響

このポリシーは、インバウンドのリモート印刷操作を防止することにより、リモート攻撃ベクトルをブロックします。システムはプリントサーバーとして機能しなくなりますが、直接接続されたデバイスへのローカル印刷は引き続き可能です。