米政府機関の Windows PrintSpooler バグを FIX するために CISA が緊急指令を発動

CISA orders federal agencies to patch Windows PrintNightmare bug

2021/07/13 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、ネットワーク上で積極的に悪用されている Window Print Spooler の脆弱性を緩和するよう、連邦政府機関に対して新たな緊急指令を発令した。7月9日 (金) に Microsoft が、サポートされる全 Windows バージョンで PrintNightmare と呼ばれる脆弱性に対処するために、セキュリティ・アップデートを公開した後に、CISA は緊急指令 21-04 を発動した。

この脆弱性 CVE-2021-34527 は、攻撃者が SYSTEM 権限でリモートコードを実行 (RCE) することで、サーバーを乗っ取ることを可能にするものだ。CISA の説明によると、今回の緊急措置は、PrintNightmare のバグが現在進行中の攻撃に悪用されることで、連邦民間行政機関に受け入れがたいリスクが生じたことが、直接の原因となっている。CISA は、「さまざまな PoC を検証した結果として、この脆弱性が悪用された場合には、政府機関のネットワークが防御不能な危険に晒されることが懸念される。現時点において、この脆弱性を脅威アクターが悪用し、今後も悪用される可能性があり、影響を受けるソフトウェアが連邦政府の組織内で普及し、そして組織内の情報システムが危険に晒される可能性が高いことが、この判断のベースにある」と述べている。

緊急指令 21-04 を遵守するために、米国連邦政府の各組織は、以下の行動をとることが求められる。

1. By 11:59 pm EDT, Wednesday, July 14, 2021 : すべての Microsoft Active Directory (AD) Domain Controllers (DC) の Print Spooler サービスを停止/無効化する。
2. By 11:59 pm EDT, Tuesday, July 20, 2021 : すべての Windows サーバーとワークステーションに対して 2021年7月分の累積更新プログラムを適用する。
3. By 11:59 pm EDT, Tuesday, July 20, 2021 : Microsoft Windows を実行しているすべてのホスト (アクション#1の DC を除く) について、緊急指令に記載されている Option 1、2、3 のいずれかを完了する。
4. 上記の Option 1、2、3 のレジストリおよびグループポリシーの設定が、正しく展開されていることを確認する。
5. By 11:59 pm EDT, Tuesday, July 20, 2021 : 組織のネットワークに接続する前に、新しくプロビジョニングされた、あるいは、以前に切断された、サーバーとワークステーションが更新され、上記で定義された設定を確認するための、技術的/管理的なコントロールが実施されていることを確認する。
6. By 12:00 pm EDT, Wednesday, July 21, 2021 : 提供されたテンプレートを用いて、完了報告書を提出する。

すべての機関において、すべての必要な措置が実施されるか、この指令が、他の適切な措置により終了するまで、この緊急指令は有効であると、CISA は述べている。7月1日に CISA は、PrintNightmare ゼロデイに関する通知も公開し、印刷に使用されていない全てのシステムで、Windows PrintSpooler サービスを無効にするよう、セキュリティの専門家に促している。


この記事で指摘されるのは、複数のセキュリティ研究者がパッチの不完全性を指摘したことを受け、Microsoft が PrintNightmare パッチ・ガイダンスを明確にし、この深刻な脆弱性に正しくパッチを当てるために必要な手順を、金曜日に公開したということです。詳細な情報とガイダンスは、Microsoft の KB5005010 サポート・ドキュメントおよびセキュリティ・アドバイザリ CVE-2021-34527 に記載されています。Print Spooler サービスは、大半の Windows プラットフォームにおいてデフォルトで有効になっているため、パッチが適用されていないシステムを標的とした攻撃が、今後も継続される恐れがあります。Microsoft の 2021年7月の累積更新プログラムを適用することが、攻撃者がネットワークに侵入しないようにするための、最も簡単な方法とのことです。

Microsoft Windows PrintNightmare セロデイ脆弱性を緩和するには?
DirtyMoe ボトネットは 2021年前半だけで 10万台以上の Windows に感染している
Windows の脆弱性 CVE-2021-31166 に関する PoC エクスプロイトが公開された