Windows PrintNightmareゼロデイ脆弱性の対応方法：CVE-2021-34527

Microsoftは、PrintNightmareとして知られるWindows Print Spoolerのゼロデイ脆弱性を狙ったエクスプロイトに対して攻撃をブロックするための緩和策ガイダンスを公開しました。

Security Update Guide - Microsoft Security Response Center

Table of contents

Print spoolerサービスとは？
脆弱性への対応策
ドメインコントローラー上のプリントスプーラーサービスにはどのようなリスクがありますか？

Print spoolerサービスとは？

Print spoolerとは、印刷処理を管理するソフトウェアサービスです。Spoolerは、コンピューターから印刷ジョブを受け付け、プリンターのリソースが利用可能かどうかを確認します。また、プリントジョブをプリントキューに送って印刷する順番を決めます。パソコンが登場したばかりの頃は、ファイルが印刷されるのを待ってから他の作業をする必要がありましたが、このプリントスプーラのおかげで、印刷がユーザーの生産性全体に与える影響を最小限に抑えることができるようになりました。

このリモートコード実行（RCE）バグは、現在CVE-2021-34527としてトラックされていますが、マイクロソフト社によれば、すべてのバージョンのWindowsに影響があり、すべてのWindowsでこの脆弱性が悪用できるかどうかはまだ調査中で、CVSSのスコアもまだ決定していません。

Microsoft has assigned CVE-2021-34527 to the remote code execution vulnerability that affects Windows Print Spooler. Get more info here: https://t.co/OarPvNCX7O
— Microsoft Security Intelligence (@MsftSecIntel) July 2, 2021

マイクロソフトは、Windows Print Spoolerに存在するリモートコード実行の脆弱性をCVE-2021-34527としました。

CVE-2021-34527は、攻撃者がSYSTEM権限でリモートコードを実行することにより、プログラムのインストール、データの閲覧・変更・削除、完全なユーザー権限での新規アカウントの作成を可能にし、影響を受けるサーバーを乗っ取ることができます。

マイクロソフト社は、新たに公開したセキュリティアドバイザリの中で、PrintNightmareはすでに実世界で悪用されていると付け加えています。

現時点では、PrintNightmareゼロデイに対応するセキュリティアップデートはなく、マイクロソフトが問題を調査し、修正に取り組んでいます。

また、マイクロソフト社は、「似ているが、6月にパッチが適用されたCVE-2021-1675の脆弱性とは異なるものです」と述べています。

脆弱性への対応策

マイクロソフトは、この欠陥に対応するセキュリティ更新プログラムをまだリリースしていませんが、攻撃者が脆弱なシステムを乗っ取るのを阻止するための対応策を公開しています。

具体的には、Print Spoolerサービスを無効にして、ローカルおよびリモートでの印刷機能を削除する方法や、グループポリシーによってインバウンドリモート印刷を無効にして、インバウンドリモート印刷操作をブロックすることでリモートからの攻撃手段を排除する方法などがあります。

マイクロソフト社は「システムはプリントサーバーとして機能しなくなりますが、直接接続されたデバイスへのローカル印刷は可能です」としています。

この脆弱性を緩和するためには、以下の2つの手順のいずれかを行う必要があります。

オプション1：Print Spoolerサービスの無効化

Print Spoolerサービスを無効にすることが可能な場合、以下のPowerShellコマンドを使用します。

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

オプション2：グループポリシーによる受信リモート印刷の無効化

以下のように、グループポリシーで設定することもできます。コンピュータの構成／管理用テンプレート／プリンターを開き、リモート攻撃をブロックするために、「Print Spooler to accept client connections」のポリシーを無効にします。

また、CISAはPrint Spoolerサービスを無効にすることを推奨しています。

関連ニュースとして、CISAはPrintNightmareゼロデイに関して、印刷に使用されていないサーバーのWindows Print Spoolerサービスを無効にするよう管理者に推奨する通知を出しました。

Print Spoolerサービスが稼動しているドメインコントローラのリスクを軽減する方法について、グループポリシーオブジェクトを介して、すべてのドメインコントローラおよびActive Directory管理システムでこのサービスを無効にする必要があります。

Print spooler assessment - Microsoft Defender for Identity

This article provides an overview of Microsoft Defender for Identity's Print spooler identity security posture assessment reports.

オプション3：0Patchのマイクロパッチを当てる

マイクロソフトのパッチが未完全であるのを受け、0patch社が無償のPrintNightmareマイクロパッチを公開しています。

Free Micropatches for PrintNightmare Vulnerability (CVE-2021-34527)

by Mitja Kolsek, the 0patch Team Update 8/11/2021: August 2021 Windows Updates brought a fix for PrintNightmare that has the same default ef...

PrintNightmareマイクロパッチのインストール方法：CVE-2021-34527

ドメインコントローラー上のプリントスプーラーサービスにはどのようなリスクがありますか？

一見問題ないように見えますが、認証されたユーザーは、ドメインコントローラーのプリントスプーラーサービスにリモートで接続し、新しい印刷ジョブの更新を要求することができます。また、ユーザーは、ドメインコントローラに対して、制約のない委任により、システムに通知を送るように指示することができる。これらのアクションは、接続をテストし、ドメインコントローラのコンピュータアカウントのクレデンシャルを公開します。（プリントスプーラはSYSTEMによって所有されている）。

このサービスは、ほとんどのWindowsクライアントおよびサーバープラットフォームでデフォルトで有効になっているため、今後脆弱なシステムを狙った攻撃が積極的に行われる危険性があります。

マイクロソフト社がPrintNightmareのセキュリティ更新プログラムをリリースするまでは、上記の対応策を実施することが、攻撃者、特にランサムウェアのグループがネットワークへの侵入の機会を逃さないための最も簡単な方法です。