Microsoft PrintNightmare 脆弱性:ネットワーク・プリンター破壊の状況と原因

New Windows security updates break network printing

2021/09/16 BleepingComputer — Windows 管理者たちは、今週の 2021年9月 Patch Tuesday アップデートをインストールした後に、広範囲にわたるネットワーク印刷の問題を報告している。火曜日に Microsoft は、今月の Patch Tuesday の一環として、60件のセキュリティ・アップデートと多数のバグ修正をリリースしている。その中には、CVE-2021-36958として追跡されている、最後に残った PrintNightmare の脆弱性の修正も含まれている。

この脆弱性が悪用されると、数多くのランサムウェア・ギャングたちに、脆弱なデバイス上で SYSTEM 権限を即座に獲得されるため、修正は極めて重要だ。しかし、多くの Windows システム管理者から、プリント・サーバーに PrintNightmare の修正プログラムをインストールした後に、ネットワーク・プリンターから印刷できなくなったとの報告を受けている [12]。

これらの問題に対処している、複数の Windows 管理者との会話の中で、彼らは BleepingComputer に対して、更新プログラムがネットワーク印刷を壊しており、更新プログラムを削除することでしか解決できないと述べている。ある管理者は、「この問題は複数のサイトで発生している。プリント・サーバーは2012R2 と 2016 だが、アップデート前は全て正常に動作していた」と語っている。

また、別の管理者は、「昨日の Windows Update の後に、ネットワーク上のプリント・サーバーとして使用している、Windows 10 での印刷できなくなった。知る限りでは、この問題は v3 と v4 のドライバーを持つプリンターに影響を与えているが、100% の確信はない。サーバー上でパッチをアンインストールした後、すべてが正常に戻った」と述べている。この問題は、v3 のプリンターを壊した前回アップデートで発生した問題とは異なるものだ。

すべてのユーザーに、ネットワーク印刷の問題が発生しているが、同じエラーが表示されるわけではないようだ。たとえば、ある管理者は、自身のデバイスが、アプリケーションのイベント・ログに 4098 の警告を表示していると述べている。このエラーは、”The user preference item in the Group Policy Object did not apply because it failed with error code ‘0x8007011b’ This error was suppressed.” のことである。

また、別の管理者によると、プリンター・ポート・タブが空白になっており、さらに別の管理者によると、アクセス拒否エラーが発生したとのことだ。これらの問題は、HP/Canon/Konica Minolta などの、すべてのネットワークプリンタ、および、Type 3 と Type 4 のプリンター・ドライバーに影響を与えているようだ。なお、USB プリンタを直接コンピュータに接続している場合は、問題は発生しない。PrintNightmare に対する新しいセキュリティ・アップデートと、それに伴うネットワーク印刷への影響は以下の通りである。

• KB5005568 (Windows Server 2019)
• KB5005613 (Windows Server 2012 R2)
• KB5005627 (Windows Server 2012 R2)
• KB5005623 (Windows Server 2012)
• KB5005607 (Windows Server 2012)
• KB5005606 (Windows Server 2008)
• KB5005618 (Windows Server 2008)
• KB5005565 (Windows 10 2004, 20H2, and 21H1)
• KB5005566 (Windows 10 1909)
• KB5005615 (Windows 7 Windows Server 2008 R2)

PrintNightmareの修正により重大な問題が発生

残念なことに、Microsoft は PrintNightmare の脆弱性を修正するために、これまでの2ヶ月の間に、Windows Point and Print 機能と、プリント・サーバーからのドライバー・インストール方法に、大きな変更を加えなければならなかった。この変更により、Windows Point and Print 機能を使用してプリンター・ドライバをインストールする際に、管理者権限が必要となった。

この変更を Microsoft が行ったところ、Windows ユーザーが印刷しようとする際のエラー発生や、プリンター・ドライバーをアップデートする際の、管理者パスワード要求が生じるようになった。Microsoft は、これらの変更を制御するための、新しいレジストリ設定を導入したが、これを無効にすると、再び Windows デバイスが脆弱になる。セキュリティ研究者の Benjamin Delpy によると、今週の PrintNightmare 修正プログラムでは、CopyFiles ディレクティブ・プリント・ドライバー機能を自動的にブロックする、新しい変更も導入されている。

管理者は、この変更を Windows レジストリの CopyFilesPolicy 値で設定することができる。HKLM\Software\Policies\Microsoft\Windows NT\Printers で CopyFilesPolicy 値を1に設定すると、CopyFiles が再び有効になる。CopyFiles ディレクティブを使用している、組織内における他のプリンタドライバーは動作しなくなり、さらなる混乱が発生する。BleepingComputer では、これらの問題について Microsoft に問い合わせているが、現時点では回答が得られていない。

ずいぶんと長引いた話です。関係者は、もうクタクタですね。お疲れ様と言いたいです。問題は、いちおう解決したようですが、ネットワーク・プリンターが使えないという、困った状況に陥っている感じですね。とりあえずは、USB 接続のプリンターで何とかする以外に、方法は無さそうです。まだまだ、クタクタが続きそうです。

%d bloggers like this: