ここ数週間、印刷スプーラに影響を与える PrintNightmare という Windows の権限昇格の脆弱性が物議を醸しています。この脆弱性(CVE-2021-1675/CVE-2021-34527)にはすでに何度かセキュリティ更新プログラムが適用されていますが、依然としてエクスプロイト可能と考えられています。
脆弱性自体は、Windows プラットフォームの印刷スプーラサービスで発見された権限昇格のバグです。認証されたユーザは、昇格された権限(管理者権限など)の取得が可能になると考えられます。この脆弱性の深刻さをさらに複雑にしているのが、トリガーされるとエンタープライズ ネットワークのドメインコントローラに影響を与える可能性があるという点です。さらに悪いことに、権限昇格の脆弱性を利用してリモートでコードが実行される危険性があります。印刷スプーラでドライバ(署名付きと署名なしの両方)をロードすることで、この脆弱性がエクスプロイトされます。なお、最新のセキュリティ更新プログラムを適用すればドライバをロードできなくなります。
Microsoft 社がリリースした最新のパッチには追加の保護機能が含まれています。その中の 1 つに、管理者以外のユーザが印刷スプーラを使用して署名なしのドライバをインストールする機能に対する制限があります。今後は署名なしのドライバをインストールする際には管理者のログイン情報が必要になります。システム管理者は、セキュリティ更新プログラムが不完全であってもインストールし、できる限りの保護機能を確保して上記の緩和策を実施するようお勧めします。
タイムライン
2021 年 6 月 8 日:Microsoft 社、印刷スプーラサービスの権限昇格の脆弱性を修正するセキュリティ更新プログラムを公開(CVE-2021-1675)
2021 年 6 月 21 日:Microsoft 社、脆弱性の分類をリモートコード実行(RCE)に変更
2021 年 6 月 29 日:研究者により CVE-2021-1675 の悪用可能性を示す概念実証(PoC)コードがリリースされたものの、その後撤回
2021 年 6 月 30 日:6 月初めに公開されたセキュリティ更新プログラムでは脆弱性を完全には修正しきれていないことが判明
2021 年 7 月 2 日:Microsoft 社、印刷スプーラサービスの「類似しているが別個の」脆弱性に対応する新しい CVE を割り当て(CVE-2021-34527)
2021 年 7 月 6 日:Microsoft 社、CVE-2021-34527 に対応する定例外のセキュリティ更新プログラムを公開し、エクスプロイトから保護するための追加の保護機能を提供
2021 年 7 月 7 日:新しいセキュリティ更新プログラムの修正は不完全で、回避できることが判明
カバレッジ
この脆弱性に対処するために、Snort SID 57876 および 57877 がリリースされました。
お客様がこの脅威を検出してブロックするための方法を以下に記載します。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、
Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザに多要素認証を提供し、承認されたユーザのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
本稿は 2021 年 07 月 08 日に Talos Group のブログに投稿された「PrintNightmare: Here’s what you need to know and Talos’ coverage」の抄訳です。