Jul 4, 2021

PrintNightmare CVE-2021-34527

「PrintNightmare」は「CVE-2021-1675」と異なる脆弱性 - MSが回避策をアナウンス (07/02)

https://www.security-next.com/127752

 マイクロソフトはセキュリティアドバイザリを急遽リリースした。パッチは用意されておらず、回避策をアナウンスしている。(筆者注、次の記事参照)

 セキュリティ研究者が実証コードを一時公開。その後削除したものの、第三者が公開しており、すでに拡散している。

  修正プログラムを適用した環境においても、エクスプロイトコードの実行を防げない「ゼロデイ状態」にある・・・

  リモートからSYSTEM権限で任意のコードを実行されるおそれがある・・・


回避策など、具体的にまとまっている記事(↓)

[回避策あり][PrintNightmare]Windowsの印刷スプーラーにゼロデイ脆弱性CVE-2021-34527 (07/02)

https://a-zs.net/cve-2021-1675/


・概要

 「PrintNightmare」で発生する脆弱性は、ドメインコントローラーにおいては2021年6月の累積更新プログラムでは完全に防げず、結果的にゼロデイ脆弱性「CVE-2021-34527」が知られることになりました。

 Microsoftよるとドメインコントローラーが影響を受ける・・・まだ調査中で不明な点もあります。


・回避策、一次情報

 Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527
 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527


・回避策要否判断、印刷スプーラーサービスが実行されているか確認するには

 Powershellで、「Get-Service -Name Spooler」 実行


・【回避策1】印刷スプーラーサービスを無効にする

 Stop-Service -Name Spooler -Force

 Set-Service -Name Spooler -StartupType Disabled

 以上のコマンドを実行後、OSを再起動


・【回避策2】グループポリシーでクライアント接続禁止

 グループポリシーで「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にする

 コンピューターの構成 > 管理用テンプレート > プリンター の「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にして、リモート攻撃をブロック


・参考

Active Directory でグループ ポリシー設定を使用してプリンターを制御する (2020/09/08)  

https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer


・回避策の影響

 プリントサーバーとして機能しなくなります。


・その他

 CVE-2021-34527脆弱性は2021年6月の累積更新プログラムで修正されたCVE-2021-1675脆弱性とは異なる。

 この脆弱性は2021年6月の累積更新プログラムの前から存在していた。

 ドメインコントローラーが影響を受ける。他の種類の役割も影響を受けるかどうかはまだ調査中。

 この脆弱性を含むコードはすべてのバージョンのWindowsにある。すべてのバージョンが悪用可能かどうかはまだ調査中。


コマンドプロンプトから、Windows SCコマンドで診断・対処する方法(↓)

PrintNightmare の脆弱性を阻止するには (07/02)

https://news.sophos.com/ja-jp/2021/07/02/printnightmare-vulnerability-what-to-do-jp/


・対策

1.印刷スプーラーを可能な限りオフにしてください。
2.どうしてもオフにできない Windows マシンでは、印刷スプーラーサービスへのアクセスを可能な限り厳しく制限してください。
3.パッチを確認し、公開され次第直ちに適用してください。


・印刷スプーラーを実行しているデバイスを特定する方法

(1)Sophos EDR / Sophos XDR を使用して特定する

(2)Windows SC (サービスコントロール) コマンドを使用して特定する

 C:\Users\duck>sc query spooler

 

・再起動してもスプーラーが自動的に起動しないようにするには

 C:\Users\duck>sc config spooler start= disabled

本記事は、追加情報が入り次第更新します。。。とのこと


Windowsの印刷スプーラーにゼロデイ脆弱性? 「PrintNightmare」が公表・即削除 (06/30)

https://forest.watch.impress.co.jp/docs/news/1335086.html


・経緯

 Windowsの印刷スプーラーの脆弱性(CVE-2021-1675)を悪用して任意コードの実行が可能になることを実証したコード(PoC)が6月29日、「GitHub」で公開された。・・・すぐに削除されたものの、その内容はすでに広まっており、警戒を要する。 

 「CVE-2021-1675」は2021年6月のセキュリティ更新で対処されている・・・深刻度も低く見積もっていた。しかし、Microsoftは21日に・・・脆弱性の内容を「任意コードの実行」、深刻度を「Critical」に改めている。すべてのパッチを当てた環境でも攻撃が成立すると主張する研究者もいる・・・


・ベストプラクティス、ヒント

 Windowsの印刷スプーラーでは、過去にいくつも脆弱性が発見されてきた。最近では、四半世紀にわたり気付かれなかった「PrintDemon」脆弱性が記憶に新しい。 

・参考

四半世紀にわたり気付かれなかったWindows印刷スプーラーの脆弱性が2020年5月パッチで修正 (2020/05/19)

https://forest.watch.impress.co.jp/docs/news/1253261.html


 10年以上前にイランの核施設攻撃に用いられたマルウェア「Stuxnet」もWindowsの印刷スプーラーの脆弱性が一部用いられた。 


投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)