Microsoft Defender for Identity が PrintNightmare 攻撃を検知する

Microsoft Defender for Identity now detects PrintNightmare attacks

2021/07/16 BleepingComputer — Microsoft Defender for Identity に PrintNightmare 悪用検知機能を追加されたことで、この重要な脆弱性を悪用しようとする攻撃者を、SecOps チームが検知できるようになった。Microsoft の PM である Daniel Naim が明らかにしたように、Defender for Identityは、Windows Print Spooler サービスの悪用 (CVE-2021-34527 PrintNightmare バグを含む) を特定し、組織のネットワーク内での脅威アクターの横移動を阻止するのに役立つ。

この重大な欠陥が悪用されると、攻撃者は自身の権限をドメイン管理者に昇格させ、影響を受けるサーバーを乗っ取り、ドメインの認証情報を盗み出し、ドメイン管理者として SYSTEM 権限でリモートコード実行し、マルウェアを配布することが可能となる。Microsoft Defender for Identity (旧:Azure Advanced Threat Protection / Azure ATP) は、オンプレミスの Active Directory シグナルを活用した、クラウドベースのセキュリティ・ソリューションである。これにより、SecOps チームは、組織内における侵害された ID/高度な脅威/悪意のインサイダー活動などを検出/調査することができる。Defender for Identity は、Microsoft 365 E5 にバンドルされているが、サブスクリプションが無ければ Security E5 のトライアルを取得することで、この新機能を試せる。

先週のこと、複数のセキュリティ研究者が、PrintNightmare バグに対処するパッチが不完全であるとタグ付けした後に、Microsoft はパッチ・ガイダンスを明確にし、重要な脆弱性に正しくパッチを当てる手順を共有した。また、火曜日には CISA 緊急指令を出し、連邦政府機関に対し、ネットワーク上で積極的に悪用されている、PrintNightmare の脆弱性を緩和するよう命じた。関連するニュースだが、Defender for Identity は 2020年11月にアップデートされており、この重要な脆弱性を狙ったオンプレミスの攻撃として、Zerologon による悪用を検出している。Microsoft は、7月末に新たにアップデートする予定であり、侵害されたユーザーの Active Directory アカウント・ロックを、SecOps チームにより可能にすることで、この攻撃の阻止を目指すという。

Windows Print Spooler の新たな脆弱性

Dragos のセキュリティ研究者である Jacob Baines が発見した、Windows Print Spooler 特権昇格の脆弱性 CVE-2021-34481 に対する新たな緩和策を、木曜日の夜に Microsoft が公開した。PrintNightmare とは異なり、このセキュリティ・バグは、脆弱なシステムのローカル・アクセス権を持つ攻撃者が、特権へと昇格ことでのみ悪用が可能となる。Baines は、「今回の攻撃は、PrintNightmare とは無関係だ。周知の通り、PrintNightmare はリモートで実行される可能性があるが、これはローカルのみの脆弱性である」と BleepingComputer に語っている。

Microsoft は、このバグに関する情報 (Windows バージョンと脆弱性の関連性など) をほとんど公開していないが、Baines はプリンタ・ドライバに関連するものだと述べている。この脆弱性に関しては、Microsoft も調査中であり、Windows Print Spooler サービスの根本的な弱点に対処する、セキュリティ更新プログラムに取り組んでいる。この CVE-2021-34481 のパッチが利用可能になるまで、攻撃に晒されている Windows デバイスの Print Spooler サービスを、無効にすべきというアドバイスが提供されている。

プリント・スプーラって、どの PC にも入っていて、すぐに使えるようにするために、どの PC でもディフォルトで ON になっている、ちょっと厄介なソフトウェアですね。情シスや CSIRT だけで、このサービスを無効にするのは不可能であり、それぞれのユーザーが対処しなければ、その企業から脆弱性を緩和できません。したがって、7月の Microsoft Patch Tuesday で FIX が試みられましたが、運用面で上手く機能しなかったようです。早く、完全に FIX してほしいですね。

Microsoft 2021-07 月例アップデートは 9件のゼロデイと 117件の脆弱性に対応
Microsoft 365 の新機能による侵害されたオンプレ AD アカウントのロックの実現
米政府機関の Windows PrintSpooler バグを FIX するために CISA が緊急指令を発動
Microsoft Windows PrintNightmare セロデイ脆弱性を緩和するには?
Microsoft Azure PowerShell の RCE 脆弱性が FIX

%d bloggers like this: