脅威に関する情報: Windows 印刷スプーラーのリモートコマンド実行 (RCE) 脆弱性 (CVE-2021-34527 別名 PrintNightmare)

  • 3,321
    people reacted
  • 0
  • < 1 min. read

By

Category: Threat Brief, Unit 42

Tags: , , , , ,

A conceptual image representing a threat brief, such as this post, covering CVE-2021-34527

This post is also available in: English (英語)

概要

2021年7月1日、Microsoftは、Windowsに新たに存在するリモートコード実行 (RCE) の脆弱性CVE-2021-34527 (一般名PrintNightmare) に関するセキュリティアドバイザリを公開しました。セキュリティリサーチャーは当初、この脆弱性は2021年6月8日の月例セキュリティ更新プログラムで初めて公開されたCVE-2021-1675 (Windows 印刷スプーラーのリモートでコードが実行される脆弱性) に関連しているものと考えていました。しかしながら、後にMicrosoftはこのアドバイザリのFAQセクションを更新し、「CVE-2021-34527はCVE-2021-1675と類似してはいるが別の脆弱性です。CVE-2021-1675はRpcAddPrinterDriverEx() に存在する別のただし関連した脆弱性です」としています。

CVE-2021-34527に脆弱なシステム

すべてのWindowsバージョンがこの脆弱性の影響を受けます。この脆弱性の影響を受けるのは、任意のバージョンのWindowsでPrint Spoolerサービスを実行しているドメインコントローラ、クライアント、メンバーサーバーです。Microsoftは、修正プログラムを含む帯域外更新プログラムを公開していますが、Windows 10バージョン1607、Windows Server 2016、Windows Server 2012はこれには含まれていません。今回含まれなかったバージョンについては、近日中にセキュリティ更新プログラムが公開される予定です。

回避・緩和策

Microsoftは、2021年7月6日にこの脆弱性に対応する帯域外セキュリティ更新プログラムを公開しました。お使いのシステムに適用される更新内容についてはこちらのセキュリティ更新の一覧をご覧ください。管理者の方は、これらのアップデートをインストールすることを強くお勧めします。これらの更新プログラムをインストールできない場合は、CVEの「よくある質問」および「回避策」のセクションを参照して、この脆弱性からシステムを保護するための対策を講じてください。あわせて「KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates (KB5005010: 2021年7月6日の更新プログラム適用後に新たなプリンタドライバのインストールを制限する)」もご参照ください。

なお、2021年7月6日以降にリリースされるセキュリティ更新プログラムには、CVE-2021-1675と、CVE-2021-34527に記載されているWindows Print Spoolerサービスの追加的なRCEエクスプロイト (「PrintNightmare」) に対する保護が含まれています。

結論

パロアルトネットワークスはこの脆弱性のエクスプロイトに対する保護を提供します。

  • 脅威防御セキュリティサブスクリプションをご契約いただいている次世代ファイアウォール (アプリケーションおよび脅威コンテンツのバージョン8427以降を実行) は、脅威ID 91333、91346、91349を使用して、この脆弱性 (およびCVE-2021-1675) に関連するセッションを自動的にブロックできます。
  • Cortex XDR エージェント 7.4.1 (コンテンツバージョン 189-64538 以上) は、脆弱なホスト (「ポイントアンドプリント」機能を有効にしてパッチを適用したホストを含む) における、現在知られているすべてのエクスプロイトの実装を防止できます。

パロアルトネットワークスは、新しい情報や推奨事項が利用可能になり次第、本稿を更新します。

追加資料