Microsoftは8月11日(現地時間)、Windows印刷スプーラーサービスに新たなセキュリティ上の欠陥「CVE-2021-36958」が存在することを認めました(BleepingComputer、Neowin)。
脆弱性は以下のように説明されています。
A remote code execution vulnerability exists when the Windows Print Spooler service improperly performs privileged file operations. An attacker who successfully exploited this vulnerability could run arbitrary code with SYSTEM privileges. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
Window印刷スプーラーサービスが特権的なファイル操作を不適切に実行すると、リモートコード実行の脆弱性が存在する。この脆弱性を利用した攻撃者は、SYSTEM権限で任意のコードを実行することができる。攻撃者は、プログラムをインストールしたり、データを表示、変更、または削除したり、完全なユーザー権限を持つ新しいアカウントを作成したりすることができる。
この問題は8月の月例更新プログラムとしてパッチが提供されたPrintNightmare脆弱性に関連したものです。Microsoftは更新プログラムでポイントアンドプリントドライバーのインストールおよびアップデートを管理者だけが実行できるように制限し、問題を緩和することができると考えていました。しかしプリンタドライバーがすでにインストールされているシステムでは、管理者以外のユーザーが脆弱性を悪用できる可能性があるとのことです。
なお脆弱性はリモートコード実行(RCE)と説明されていますが、CERTのWill Dormann氏はBleeping Computerに対し、「これは明らかにローカル(LPE)」、つまりローカルな特権昇格であると述べています。
同社は修正プログラムの作成に取り組んでおり、一時的な回避策として印刷スプーラーサービスを無効にするよう求めています。しかし、セキュリティ研究者のBenjamin Delpy氏は、印刷サービスを完全に無効化するよりも良い方法があるとし、Windowsグループポリシーの「パッケージのポイントアンドプリント - 承認されたサーバー」オプションを使用して、印刷機能を承認されたサーバーのみに制限するようアドバイスしています。
You can prevent this behavior by settings some parameters/GPO:
'Package Point and print - Approved servers'
> https://t.co/HiYRmGqIDw
> https://t.co/h1m9LyyzhhOf course, disable outbound access to CIFS/SMB/RPC... pic.twitter.com/gypFJSPViv
— Benjamin Delpy (@gentilkiwi) July 17, 2021
承認されたサーバーをポリシーに追加するには、グループポリシーエディターを起動し(gpedit.mscを実行)。「ユーザー構成 > 管理テンプレート > コントロールパネル > プリンター > パッケージのポイントアンドプリント > 承認されたサーバー」で「編集」を選択します。なお、この方法は、Microsoftの公式な緩和策ではないため自己責任で実施する必要があります。