知って得するセキュリティのはなし その119
Windowsの印刷サービスにゼロデイ脆弱性「PrintNightmare」、MSはサービス停止推奨
1.このニュースをざっくり言うと
- 6月29日(現地時間)、Githubにおいて、Windowsの印刷スプーラー(Print Spooler)に存在する脆弱性「PrintNightmare」に関する情報および実証コードが公開されました(間もなくGithubからは削除されたものの、内容は既に広まっている模様です)。
- 印刷スプーラーにアクセス可能な攻撃者が、これが動作しているサーバーを乗っ取ることが可能になるとされ、7月1日にマイクロソフト(以下・MS)より、まだ修正パッチがリリースされていない、いわゆる「ゼロデイ脆弱性」として正式に発表されています。
- MSでは、6月の月例パッチで修正された印刷スプーラーの脆弱性(CVE-2021-1675)とは別の脆弱性であるとし(新たなCVEとして「CVE-2021-34527」が割当てられています)、パッチがリリースされるまでの回避策として、Print Spoolerサービスを無効にすること等を推奨しています(ただしこれにより、印刷が実行できなくなります)。
2.執筆者からの所感等
- PrintNightmareは当初、6月に修正されたCVE-2021-1675と同一のものとされ、一旦は対策済みと判断して公開されたものの、未修正の別の脆弱性であることが判明し、結果としてゼロデイの脆弱性となったことが、Githubからコンテンツが取り下げられた理由とみられています。
- 印刷スプーラーにおいては2020年5月にも、四半世紀の間存在していたとされる脆弱性「PrintDemon(CVE-2020-1048)」が報告・修正される等、以前から脆弱性が度々報告されており、印刷を行う予定のないPCや、プリントサーバーでないWindowsサーバー、特にActive Directory環境におけるドメインコントローラについては、サービス管理画面等から(MSの情報ではPowerShellスクリプトによる方法も紹介されています)印刷スプーラーサービスを停止・無効化するといった回避策をとることを強く推奨致します。
- WindowsではサーバーのみならずクライアントPCでも数多くのサービスが稼働しており、根本的な対策として修正プログラムを速やかに適用する体制はもちろん、攻撃の余地を与えないよう可能な限り不要なサービスを停止するとともに、OS自体のファイアウォール機能ないしアンチウイルス・UTM含め各種ソリューションによる防御を徹底することが肝要です。
