Microsoft shares mitigations for Windows PrintNightmare zero-day bug
2021/07/02 BleepingComputer — Microsoft は、Windows Print Spooler のゼロデイ脆弱性 PrintNightmare を狙った、攻撃を阻止するための緩和策を提供している。このリモートコード実行 (RCE : remote code execution) のバグは、CVE-2021-34527 として追跡されている。Microsoft によると、すべての Windows に影響があるが、この脆弱性の悪用については調査中とのことだ。
攻撃者が SYSTEM 権限でリモート・コードを実行することで、プログラムのインストールや、データの閲覧/変更/削除、そして、完全なユーザー権限での新規アカウント作成などを許し、影響を受けるサーバーを乗っ取ることが可能となる。Microsoft は、新たに公開したセキュリティ・アドバイザリにおいて、すでに PrintNightmare は悪用されていると付け加えている。なお、Microsoft は、検出された悪用の背後に、誰がいるのかについては公表していない。しかし、Bleeping Computer が閲覧した Microsoft 365 Defender の顧客向けの脅威分析レポートでは、攻撃者が PrintNightmare ゼロデイを積極的に悪用していると、Microsoft は述べている。
現時点において、PrintNightmare ゼロデイに対応するセキュリティ・アップデートはなく、Microsoft による問題を調査と修正を待つ他にない。また、Microsoft は、「6月にパッチが適用された CVE-2021-1675 と類似しているが、異なる脆弱性だと」と述べ、このバグにまつわる混乱を取り除いている。現時点で、セキュリティ・アップデートはリリースされていないが、攻撃者に脆弱なシステムを乗っ取られないようにするための緩和策が提供されている。具体的には、Print Spooler サービスを無効にして、ローカルおよびリモートでの印刷機能を排除する方法や、グループ・ポリシーによりインバウンド・リモート印刷を無効にすることで、攻撃手段を排除する方法などが挙げられている。2番目のケースについて Microsoft は、「システムはプリント・サーバーとして機能しなくなるが、直接接続されたデバイスへのローカル印刷は可能である」と述べている。
この記事では、CISA からの通知についても紹介しています。この PrintNightmare ゼロデイ脆弱性に関して CISAは、印刷に使用しないサーバの Windows Print Spooler サービスを無効にするよう、管理者に促すための通知を出しているようです。Print Spooler サービスが稼動しているドメイン・コントローラのリスクを軽減する方法について、Microsoft が以前に発表した推奨事項によると、グループポリシー・オブジェクトを介して、すべてのドメイン・コントローラおよび Active Directory 管理システムで、このサービスを無効にする必要があるとのことです。
このサービスは、ほとんどの Windows クライアントおよびサーバー・プラットフォームにおいて、デフォルトで有効になっているため、脆弱なシステムを狙った攻撃が積極的に行われる危険性があります。Microsoft が PrintNightmare のセキュリティ更新プログラムをリリースするまでは、上記の緩和策を実施することが、ランサムウェア・グループなどのネットワーク侵入の機会を阻止するための最も簡単な方法です。
IoT OT Security News 