Microsoftは、攻撃者がWindowsデバイスの管理者権限を容易に取得できるゼロデイ脆弱性「PrintNightmare」の最後の部分を修正するセキュリティ更新プログラムをリリースしました。
2021年6月、「PrintNightmare」(CVE-2021-34527)と名付けられたゼロデイのWindowsプリントスプーラーの脆弱性が公開されました。この脆弱性は、Windowsのポイント&プリント機能を悪用して、リモートでコードを実行しローカルのSYSTEM権限を獲得するものです。
マイクロソフト社は、PrintNightmareの脆弱性を修正する2つのセキュリティ更新プログラムをリリースしましたが、セキュリティ研究者のBenjamin Delpy氏によって公開された別の脆弱性は、脅威者がリモートのプリントサーバーに接続するだけで、素早くSYSTEM権限を獲得することができるものとなっていました。
Delpy氏の脆弱性は、CopyFilesディレクティブを悪用して、ユーザーがリモートプリンタをインストールした際、SYSTEM権限で悪意のあるDLLをコピー・実行します。この脆弱性によりDLLが起動すると、コンソールウィンドウが開き、すべてのコマンドがSYSTEM権限で実行されます。
「Vice Society」、「Magniber」、「Conti」などのランサムウェアグループが、この脆弱性を利用して、感染したデバイス上で昇格した特権を得る攻撃を行っていました。
この最後のPrintNightmareの脆弱性は、CVE-2021-36958として追跡されており、2020年12月にMicrosoftにこのバグを非公開で開示したAccenture Security社FusionXのVictor Mata氏が指摘したものです。
2021年9月のパッチチューズデーのセキュリティ更新プログラムにおいて、マイクロソフトは最後のPrintNightmareの脆弱性を修正するCVE-2021-36958の新しいセキュリティ更新プログラムをリリースしました。
新しいセキュリティアップデートに対して自分のエクスプロイトをテストしたDelpy氏は、バグが修正されたことを確認しました。
Delpy氏が語ったところによると、Microsoft社はCopyFiles機能をデフォルトで無効にし、管理者が再び有効にすることができる文書化されていないグループポリシーを追加しています。
このポリシーは、WindowsレジストリのHKLM_Software_Policies_Microsoft_Windows NT_Printersキーの下に、CopyFilesPolicyという値を追加することで設定できます。このレジストリに「1」を設定すると、CopyFilesが再び有効になります。
ただし、有効にした場合でも、この機能を使用できるのはMicrosoftのC:\System32\mscms.dllファイルに限られるとのことです。
この変更は、Windowsのデフォルトの動作に影響を与えるため、Windowsで印刷する際にどのような問題が発生するかは不明となっています。
Microsoft社は現時点でこの新しいグループポリシーに関する情報を公開しておらず、グループポリシーエディタでは利用できません。
PrintNightmareの脆弱性に加えて、今回の更新プログラムでは、積極的に悪用されるWindows MSHTMLのゼロデイ脆弱性も修正されています。
Windows Internet Explorer MSHTMLゼロデイ対策を回避できる方法が判明
これらの脆弱性はいずれも攻撃者が攻撃に悪用することが知られているため、今回のパッチチューズデイのセキュリティアップデートをできるだけ早くインストールすることが重要となっています。
Comments