PrintNightmare:Windowsの印刷スプーラーの脆弱性

Windowsの印刷スプーラーサービスの脆弱性(CVE-2021-1675、CVE-2021-34527)を修正するWindowsセキュリティ更新プログラムの適用を。

今年6月末まで、セキュリティリサーチャーの間では、Windowsの印刷スプーラーサービスに関連する「PrintNightmare」と呼ばれる脆弱性が話題となっていました。6月のMicrosoft月例パッチで問題は修正されたと見えましたが、この問題は偶然にも、2つの脆弱性に関係していました。6月に修正されたのはCVE-2021-1675で、もう一つのCVE-2021-34527については7月の月例パッチで対応されています(リンク先はいずれも英語)。

Windowsの印刷スプーラーサービスはWindowsシステムでは既定で有効になっているため、パッチが適用されていないWindowsシステムは、脆弱性を通じて攻撃者にシステムを掌握されてしまう恐れがあります。

Microsoftは「PrintNightmare」の名称をCVE-2021-34527に対して使用しており、CVE-2021-1675に対しては使用していません。しかし、この名称は、多くの場合で両方の脆弱性を指して使用されています。

当社のエキスパートは両方の脆弱性を詳しく調査し、これらを悪用しようとする試みをカスペルスキー製品の脆弱性攻撃ブロック機能とふるまい検知機能によって検知可能であることを確認しました。

PrintNightmareが危険である理由

PrintNightmareは、2つの理由から、非常に危険であると見なされます。第1に、Windowsの印刷スプーラーは、あらゆるWindowsベースのシステムで既定で有効になっています。ドメインコントローラーや、システム管理者権限を持つコンピューターもその中に含まれるため、こうしたコンピューターすべてが脆弱な状態となります。

第2に、調査チーム間の行き違い(おそらくは単純なミス)により、PrintNightmareの概念実証エクスプロイトがオンライン公開されてしまっています(英語記事)。関わったリサーチャーたちは、この問題がMicrosoftの6月の月例パッチで修正されたと考えていたため、コードを外部のコミュニティに共有したのでした。概念実証コードはすぐに削除されましたが、すでに多くの人々がコピーした後でした。この状況を受け、Kasperskyのエキスパートたちは、今後PrintNightmareを悪用する動きが増えるであろうと予測しています。

脆弱性と、その悪用

CVE-2021-1675は、権限昇格の脆弱性です。低い権限を持つ攻撃者はこれを利用することで、悪意あるDLLファイルを作成して使用し、エクスプロイトを実行して高い権限を得ることが可能となります。しかし、こうした攻撃が可能なのは、そのコンピューターへ攻撃者がすでに直接アクセスできるようになっている場合です。Microsoftでは、この脆弱性の危険度は比較的低いとしています。

CVE-2021-34527の方は、それよりもずっと危険です。CVE-2021-1675と似てはいますが、こちらはリモートコード実行(RCE)の脆弱性であり、DLLのリモート注入を許します。Micfosoftでは、この脆弱性が実環境ですでに悪用されていることを確認しています。

この2つの脆弱性と、それらを悪用する手法の技術的詳細については、Securelistにて説明していますのでそちらをご参照ください。

このほか、企業インフラ内のデータにアクセスするためにPrintNightmareを利用可能であることから、ランサムウェア攻撃に使用される恐れもあります。

PrintNightmareから企業インフラを守る方法

PrintNightmare攻撃からの防御を講じるには、まずはMicrosoftのセキュリティ更新プログラム(6月分7月分)をインストールするところからです。7月分のページには、パッチを適用できない場合の回避策が提示されています。Windows印刷スプーラーを無効にしないで済む回避策もあります。

しかし、Windows印刷スプーラーが必要ないコンピューターでは、Windows印刷スプーラーの無効化をお勧めします。特にドメインコントローラーサーバーの場合、印刷機能はほぼ必要ないはずです。

これに加え、社内の全サーバーおよび全コンピューターに、既知および未知の脆弱性の悪用を防ぐ機能を備えたエンドポイントセキュリティソリューションを導入することをお勧めします。

ヒント