スカイアーチネットワークス お客様サポートセンターです。
日頃より弊社サービスをご利用いただきまして、誠に有難う御座います。
Microsoft Windowsの印刷スプーラーにて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。
JVNVU#96262037
Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
概要
Microsoft WindowsのPrint Spoolerサービスには、RpcAddPrinterDriverEx()関数のアクセス制限の不備に起因するリモートコード実行の脆弱性が存在します。
影響を受けるシステム
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
詳しくはMicrosoftが公開している情報を参照ください。
詳細情報
Print Spoolerサービスは、印刷において印刷待ちを実現するためのサービスです。RpcAddPrinterDriverEx()関数は、上記サービスでプリンタドライバのインストールに用いられます。パラメータDRIVER_CONTAINERオブジェクトとパラメータdwFileCopyFlagsによって、インストールするプリンタドライバとファイルのコピー方法を制御しています。
認証ユーザであれば、RpcAddPrinterDriverEx()関数を実行可能です。そのため、認証情報を取得した攻撃者は、リモートサーバ上のドライバを指定し、インストールできます。
想定される影響
認証された遠隔の第三者によって、SYSTEM権限で任意のコードを実行される可能性があります。
対策方法
アップデートする
Microsoftが公開している情報をもとに、最新版へアップデートしてください。
またMicrosoftは、アップデート実施後に以下の設定を実施することを推奨しています。
詳しくは、KB5005010の内容を参照ください。
・グループポリシーを使用して、ポイント アンド プリントを無効にする
・非管理者アカウントがプリンタドライバをインストールできないよう制限する
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
・Print Spoolerサービスを停止し、無効にする
・グループポリシーを使用して、インバウンドからのリモート印刷を無効にする
ベンダ情報
- CVE-2021-34527 | Windows Print Spooler Remote Code Execution Vulnerability
- 3.1.4.4.8 RpcAddPrinterDriverEx (Opnum 89)
- 3.1.4.1.8.3 DRIVER_CONTAINER Parameters
- Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開
- KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
- ポイント アンド プリントの概要
参考情報
- 1.CERT/CC Vulnerability Note VU#383432
Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx() - 2.CISA National Cyber Awareness System
PrintNightmare, Critical Windows Print Spooler Vulnerability
本件に関してのご質問や確認等は、お手数ですが下記までご連絡下さい。
株式会社スカイアーチネットワークス
【お客様サポートセンター】
TEL : 03-6743-1102
E-mail : maintenance@skyarch.net
サポート受付 : 10:00~18:00(土日祝・年末年始を除く)
セキュリティ、障害に関する最新情報は下記にて発信しています
スカイアーチ サポートTOP
関連情報
備考
最終更新日 2021.06.14
