Windows PrintNightmare は生きている:2022年に入ってから 31,000件の攻撃を観測

Windows Print Spooler Vulnerabilities Increasingly Exploited in Attacks

2022/05/11 SecurityWeek — サイバー・セキュリティ企業の Kaspersky によると、Windows Print Spooler の脆弱性を狙う攻撃が増加しているとのことだ。この、PrintNightmare と呼ばれる Windows Print Spooler の脆弱性は、2021年6月末に初めて公開され、約1週間後には Microsoft が緊急パッチを提供している。2021年8月に Microsoft は、Windows Print Spooler ユーティリティに対する新しいパッチセットをリリースしたたが、その数日後には別の PrintNightmare バグの存在を確認することになった。

Windows Print Spooler の中で、最も有名な脆弱性は CVE-2021-1675/CVE-2021-34527 であるが、先日に発見された CVE-2022-22718 も加える必要があるだろう。さらに、火曜日に Microsoft は、プリンタ・プロセス管理ユーティリティの4つの脆弱性である、CVE-2022-29114/CVE-2022-29140/CVE-2022-29104/CVE-2022-29132 に対するパッチを追加でリリースした。

また、その日には Kaspersky も、2021年7月〜2022年4月において、Windows Print Spooler の脆弱性を標的とした約 65,000件の攻撃を確認したと報告している。そのうち、2022年1月〜4月に生じた攻撃は約 31,000件である。

Kaspersky は、「つまり、Windows Print Spooler の脆弱性は、依然として脅威アクターたちにとって人気の攻撃経路であることが示唆されており、Microsoft がリリースするパッチや修正プログラムに注意することが、ユーザーにとって不可欠であることを意味する」と述べている。

依然として攻撃の件数は増加している。2021年7月〜2022年4月の間に最も被害を受けた国はイタリアであり、検出された攻撃の約 25% 近くに達している。また、トルコや韓国もターゲットになっている。その一方で、直近の4カ月間で、最も多くの攻撃が観測されたのは、オーストリア/フランス/スロベニアである。

Kaspersky のセキュリティ研究者である Alexey Kulaev は、「今後は、企業ネットワーク内のリソースにアクセスするための悪用が増加し、ランサムウェア感染やデータ盗難のリスクも生じると予想される。これらの脆弱性の悪用に成功した攻撃者は。被害者のデータだけでなく、企業のサーバー全体に。アクセスすることが可能となる」と述べている。

最近の PrintNightmare に関する情報としては 、3月16日に「CISA/FBI 警告:MFA プロトコルと PrintNightmare を悪用するロシアからの攻撃」という記事がありました。PrintNightmare には複数の CVE が含まれますが、その記事には CVE-2021-34527 が記されており、今回の記事とも一致しています。PrintNightmare が注目されたのは、2021年7月〜9月頃だったと記憶していますが、依然としてくすぶり続けているようです。よろしければ、PrintNightmare で検索も、ご利用ください。

%d bloggers like this: