Microsoft Windows PrintNightmare 最後の脆弱性 CVE-2021-36958 が FIX

Microsoft fixes remaining Windows PrintNightmare vulnerabilities

2021/09/14 BleepingComputer — Microsoft は、ゼロデイ脆弱性 PrintNightmare に残された、最後の問題点を修正するセキュリティ更新プログラムを公開した。この脆弱性は、Windows デバイスの管理者権限が、攻撃者により容易に取得されるという、深刻なバグである。

6月に Microsoft は、Windows Print Spooler ゼロデイ脆弱性である、PrintNightmare (CVE-2021-34527) を誤って公開してしまった。この脆弱性は、Windows の Point and Print 機能を悪用して、リモートコードを実行し、ローカルの SYSTEM 権限を獲得するものだ。

その後、Microsoft は、PrintNightmare の脆弱性を修正するために、2つのセキュリティ更新プログラムをリリースした。しかし、セキュリティ研究者の Benjamin Delpy が公開した別の脆弱性があり、それは、脅威アクターがリモートのプリントサーバーに接続するだけで、素早く SYSTEM 権限を獲得できるというものだった。

Delpy が発見した脆弱性は、CopyFiles ディレクティブを悪用し、ユーザーがリモートプリンタをインストールした際に、SYSTEM 権限で悪意のある DLL をコピー/実行するものである。続いて、この脆弱性により DLL が起動され、コンソール・ウィンドウが開き、すべてのコマンドが SYSTEM 権限で実行される。さらに悪いことに、Vice Society/Magniber/Conti などのランサムウェア・ギャングが、このバグを悪用し、感染したデバイス上で特権昇格を得るようになった。

この、残された PrintNightmare の脆弱性は、CVE-2021-36958として追跡されているが、その始まりは、2020年12月に Microsoft に非公開で開示された、Accenture Security FusionX の Victor Mata からの情報となる。

新しいセキュリティ・アップデートで PrintNightmare のバグを修正

本日の、September 2021 Patch Tuesday において Microsoft は、残された PrintNightmare 脆弱性 CVE-2021-36958 を修正するための、新しいセキュリティ更新プログラムをリリースした。Delpy は、自分のエクスプロイト・コードに対して、この新しいセキュリティ・アップデートを試し、バグが修正されたことを確認している。Delpy が BleepingComputer に語ったところによると、Microsoft は CopyFiles 機能をデフォルトで無効にし、管理者が再び有効にするための、文書化されていないグループポリシーを追加したようだ。

このポリシーは、Windows レジストリのHKLM \Software \Policies \Microsoft \Windows NT \Printers キーの下に、CopyFilesPolicy という値を追加することで設定できる。ここで「1」を設定すると、CopyFiles が再び有効になる。ただし、有効にした場合でも、この機能を使用できるのは、Microsoft の C:\Windows \System32 \mscms.dll に限られるとのことだ。

この変更は、Windows のデフォルトの動作に影響を与えるため、Windows で印刷する際に、どのような問題が発生するかは不明である。現時点において Microsoft は、この新しいグループ・ポリシーに関する情報を公開せず、また、グループポリシー・エディターでは利用できない状況になっている。

本日の更新プログラムでは、PrintNightmare の脆弱性に加えて、積極的に悪用されている Windows MSHTML のゼロデイ脆弱性も修正されている。脅威アクターの攻撃に、これらの脆弱性が悪用されていることは周知の事実である。そのため、セキュリティ・アップデートを、可能な限り早くインストールすることが重要とされる。

この PrintNightmare ですが、7月2日に「Microsoft Windows PrintNightmare セロデイ脆弱性を緩和するには?」CVE-2021-34527 を、7月16日に「Microsoft Defender for Identity が PrintNightmare 攻撃を検知する」CVE-2021-34481 をポストしています。そして、今回の CVE-2021-36958 が、このプリントスプーラー関連脆弱性の最後の1つということなのでしょう。長期戦で、大変だったと思います。お疲れさまでした。