PrintNightmare:Windowsスプーラサービスにおけるリモートコード実行

PrintNightmare:Windowsスプーラサービスにおけるリモートコード実行

更新:この記事の公開後 マイクロソフト社は、脆弱性に対処するためのセキュリティ更新プログラムをリリースした。
しかし、サイバーセキュリティの研究者たちは、関連する新たな脆弱性を発見し、その悪用を公表し続けています。あなたのシステムがまだ脆弱かどうかを確認するために、最新の
PrintNightmareブログ.

Windows Print Spoolerサービスに影響を及ぼす2つの脆弱性が公表され、あらゆる業界のセキュリティ・チームが緊急に注意を払う必要がある。これらのリスクは、脆弱なサービスがWindowsドメイン・サーバーでデフォルトで有効になっているため、特に懸念される。ドメイン・コントローラは、ユーザー・アカウント情報を保存し、セキュリティ認証要求を制御するITインフラのバックボーンである。この情報にアクセスすることで、脅威者はリモートから管理者レベルの権限でコードを実行することができる。

脆弱性はCVE番号で追跡されている:CVE-2021-1675と CVE-2021-34527である。最初の脆弱性であるCVE-2021-1675はマイクロソフトに報告され、2021年6月8日にパッチが適用された。CVE-2021-34527はその後、同じWindowsコンポーネントにおける追加のセキュリティ問題を追跡するために発行されました。重要:この記事を書いている時点では、マイクロソフトはまだパッチを作成中であり、脆弱性を修正するパッチはまだ提供されていません。

この問題は、CVE-2021-1675とそれに対応するパッチがWindows Print Spoolerの一連の問題をカバーしていると考えていた研究者によって概念実証が発表されたときにエスカレートした。残念ながら、利用可能なパッチの範囲は限られていることが判明した。その後、マイクロソフトは、Windows 7、8、8.1-、そしてバージョン10まで、Windows Serverのすべてのバージョンに脆弱なコードが存在することを確認した。

われわれは、すべてのセキュリティ・チームに対し、このブログで説明されている対策を早急に講じるよう要請する。

プリントナイトメア:脆弱性の悪用は簡単

CVE-2021-34527で説明されている脆弱性を利用したエクスプロイトは非常に単純です。低レベルのアクセス権を持つユーザーが、Print Spoolerサービスが有効になっているシステムの共有フォルダ内にある悪意のあるDLLファイルを、ターゲット・システムにアップロードするだけです。次に、ユーザはDLLを実行するエクスプロイトをアクティブ化し、特権を昇格させます。ここで重要なのは、標的のシステムでエクスプロイトが機能するためには、2つの必要な前提条件があるということです:

  • 脅威行為者が使用できる正当な低レベル・アクセスのユーザー認証情報がある。
  • Print Spoolerサービスが有効になっている。

Print Spoolerサービスは、特にリモート印刷サービスを提供するために使用される。Windowsのエコシステムではよく使われるサービスである。

例えば、以下に示すPOC(概念実証)を実行すると、ターゲットシステム上で悪意のあるDLLが実行されます。

POCスクリプトの実行。
POCスクリプトの実行。
リモート共有フォルダ内の悪意のあるDLLの実行。
リモート共有フォルダ内の悪意のあるDLLの実行。

プリントナイトメアのインパクトは大きい

この脆弱性を悪用した場合の影響は非常に大きい。リークされたPOCとマイクロソフトから提供されている部分的なパッチの組み合わせにより、適切なパッチが提供されるまで、このサービスが有効になっているすべてのWindowsシステムが脆弱であるという最悪のシナリオが生まれる。悪用されたシステムの数は現在のところ不明だが、マイクロソフト社によると、この悪用が野放しで使用されている兆候があるという。

ドメイン・コントローラーは、攻撃者にとって最も狙われやすいターゲットである。ドメイン・コントローラーは、認証要求に応答し、コンピューター・ネットワーク上のユーザーを確認するサーバーである。ドメインは、異なるアクセス権を持つユーザーが共通の環境でリソースを使用できるようにする階層的な論理構造である。共有フォルダーのアクセス権からプリンターや接続サービスに至るまで、多くのサービスを管理する。このエクスプロイトにより、ドメイン・コントローラーは、組織のバックボーンであるため、脅威行為者にとって価値の高い共通のターゲットとして脚光を浴びることになる。

PrintNightmareの緩和策

パッチが利用可能になるまで、悪用を防ぐ唯一の方法は、脆弱なPrint Spoolerサービスを制限または無効にすることである。運用上の影響は、システムの印刷機能を妨げるという中程度のものであるが、この悪用は、このような対策を正当化するのに十分なほど深刻である。

Microsoft/ICS-CERTによると1、2つの可能なオプションがある:

  • 脆弱なサービスPrint Spoolerサービスを完全に無効にする。これにより印刷ができなくなる。
  • グループポリシーで受信リモート印刷を無効にする
CVE-2021-34527.2の悪用を理解するためのフローチャート
CVE-2021-34527.2の悪用を理解するためのフローチャート

PrintNightmareエクスプロイトの検出

エクスプロイトの検出に関連するトラフィックは、SMB プロトコルを使用します。SMB3 または SMB3 over SMB2 が使用されている場合、トラフィックは暗号化される。異常検知は暗号化されたプロトコルの使用を検知するが、古典的な SNORT ルールは有効ではない。一方、暗号化されていない SMB が使用されている場合、シグネチャベースの脅威検知を使用す ることで、マルウェアのトラフィックパケットを特定することができる。

エンドポイントは、リモートアクセス試行のログを記録できるサーバー用PrintServiceログを有効にすべきである。さらに、ウイルス対策ソリューションを使用して、悪意のあるファイルをブロックすべきである。

広く使われているシステムに潜む脆弱性の危険性

Windows Print Spoolerの脆弱性は、広く使われているシステムに対する脆弱性の危険性を示している。脆弱性の公表とその悪用には、組織がコントロールできない力学が関与しているが、セキュリティ・チームがコントロールできるのは、脆弱性の監視と迅速な緩和である。私たちは、PrintNightmareのような脆弱性が公開されたときに迅速に対応できるよう、人材、プロセス、技術を確保することを強く求めます。

脆弱性に関する勧告

脆弱性カテゴリ パッチ適用範囲 (最新 GA 21.1.1-06030723/TI 202107020854)
‍CVE-2021-1675

特権昇格/RCEYes (6月8日)はい

CVE-2021-34527
特権昇格/RCENoYes

参考文献

  1. https://www.kb.cert.org/vuls/id/383432
  2. https://twitter.com/StanHacked/status/1412060814488608773