Windowsプリントスプーラの新しいゼロデイがまた見つかる:4つ目:「Queue-Specific Files」機能を利用してリモートコード実行

printer news
printer

マイクロソフト社がCVE-2021-34527としてトラックしているPrintNightmareと呼ばれるゼロデイのWindowsプリントスプーラーの脆弱性の実証済みコードが誤って公開されるという事件が起きました

マイクロソフト、PrintNightmareがすべてのWindowsバージョンが対象と警鐘

この脆弱性を悪用すると、攻撃者が権限昇格を行ったりリモートコード実行したりすることができます。

マイクロソフト社は、この脆弱性を修正するためにセキュリティアップデートをリリースしましたが、研究者は、特定の条件下でこのパッチがバイパスされる可能性があると判断しました。

PrintNightmareマイクロパッチ(0patch)のインストール方法:CVE-2021-34527

不完全な修正の後、セキュリティ研究者は、Windowsの印刷APIを徹底的に調査し、Windowsのプリントスプーラーに影響を与えるさらなる脆弱性を発見しました。

Mimikatzの開発者でもあるBenjamin Delpy氏は、新たなゼロデイ脆弱性を公開し、この脆弱性を利用して攻撃者は、攻撃者が乗っ取ったリモートプリントサーバーを経由して、Windows上でSYSTEM権限を容易に獲得することができるというものです。

Delpy氏は今回の脆弱性はWindowsのPoint and Print機能の「Queue-Specific Files」機能を利用して、クライアントが攻撃者が乗っ取ったプリントサーバーに接続した際に、悪意のあるDLLを自動的にダウンロードして実行するものであると述べています。

プリンタのインストール時に、ベンダーが提供するインストールアプリケーションは、特定の印刷キューに関連付けるファイルのセットを任意の種類で指定することができます」と、マイクロソフト社のドキュメントでは説明がされています。

このファイルは、プリントサーバーに接続する各クライアントにダウンロードされます

CERT/CCの脆弱性アナリストであるWill Dormann氏は、この脆弱性に関する緩和対処方法を公開しています。

「Windowsでは、ドライバーパッケージ自体が信頼できるソースによって署名されていることを強制していますが、Windowsのプリンタードライバーは、デバイスの使用に関連するキュー固有のファイルを指定することができます。例えば、共有プリンタでは、任意のICMファイルのCopyFiles指示を指定することができます。これらのファイルは、デジタル署名が強制されたプリンタドライバのファイルと一緒にコピーされますが、署名要求の対象にはなりません。つまり、任意のファイルがPoint and Printプリンタドライバのインストールを介してクライアントシステムにコピーされ、そこでSYSTEM権限を持つ別のプリンタで使用される可能性があるのです。

これにより、脆弱なシステムでのLPEが可能となります。」と説明しています。

この脆弱性が非常に危険なのは、現在のWindowsのすべてのバージョンに影響し、攻撃者が脆弱なデバイスでSYSTEM権限を即座に獲得でき、このアクセス権を利用し、攻撃者は最終的にドメインコントローラにアクセスできるようになります。

この攻撃を実演したビデオが投稿されました。

Delpy社は、上記の脆弱性をテストするために、一般にアクセス可能なリモートプリントサーバーを作成しました。

Delpy氏とDormann氏は、この新しい「Queue-specific files」脆弱性を緩和方法を2つ共有しています

オプション1:ネットワークの境界でアウトバウンドSMBトラフィックをブロックする

Delpyの公開された攻撃方法は、リモートのプリントサーバを使用しているため、SMBトラフィックをブロックして、リモートコンピュータへのアクセスを防ぐことができます。

しかし、MS-WPRNは、SMBを使用せずにドライバーをインストールするためにも使用できるいう説明があり、攻撃者はローカルのプリンタサーバでもこの手法を使用することができます。

したがって、この方法は攻撃をブロックするための確実な方法ではありません。

オプション2:PackagePointAndPrintServerListの設定

確実な方法は、グループポリシーの「Package Point and Print – Approved Servers」を使用して、Point and Printを承認されたサーバのリストに制限することです。

このポリシーでは、プリント サーバが承認済みリストに含まれていない限り、管理者以外のユーザが Point and Print を使用してプリント ドライバをインストールできないようにします。

このグループポリシーを使用することで、既知の攻撃に対する保護が可能となります。

Comments

タイトルとURLをコピーしました