2021年7月1日にMicrosoft社からWindows Print Spoolerの脆弱性について公開されました。
本脆弱性についての調査メモを残しておきます。
まずは脆弱性の情報についてです。
■脆弱性について
CVE#:CVE-2021-34527
タイトル:Windows PrintSpoolerのリモートコード実行の脆弱性
一般公開(Publicly Disclosed):あり
悪用(Exploites):あり
悪用可能性指標(Exploitability Assessment):悪用実績あり
CVSSスコア(ベーススコア):8.8
■概要(Summary)
・Windows Print Spoolerサービスが特権ファイル操作を不適切に実行すると、リモートでコードが実行される脆弱性が存在する。
・この脆弱性の悪用に成功した攻撃者は、SYSTEM権限で任意のコードを実行する可能性がある。
その後、攻撃者は以下の攻撃を行う可能性がある。
└意図しないプログラムのインストール
└コンピュータ内のデータを表示、変更、削除
└管理者ユーザー権限で新しいアカウントを作成される
■回避策
PrintSpoolerサービスが実行されているかを確認する為、下記コマンドを実行する。
Get-Service -Name Spooler
印刷スプーラーが実行されている場合、またはサービスが無効に設定されていない場合は、次のいずれかの方法を選択して、印刷スプーラーサービスを無効にするか、GPOを使用してインバウンドリモート印刷を無効にする。
●印刷スプーラーサービスを無効にする
下記のPowerShellコマンドを実行する
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
※PrintSpoolerサービスを無効にすると、印刷する機能が無効になるのでご注意ください
●グループポリシーを使用してインバウンドリモート印刷を無効にする
・コンピューターの構成/管理用テンプレート/プリンター
└「印刷スプーラーにクライアント接続の受け入れを許可する:」ポリシーを無効にして、リモート攻撃をブロックします。
※グループポリシーを有効にするには、印刷スプーラーサービスを再起動する必要があります。
※回避策の影響でこのポリシーは、インバウンドのリモート印刷操作を防止することにより、リモート攻撃ベクトルをブロックします。システムはプリントサーバーとして機能しなくなりますが、直接接続されたデバイスへのローカル印刷は引き続き可能です。
7月14日に定例のセキュリティ更新プログラムがリリースされる為、本脆弱性も修正されると思いますが、ひとまず調査記録として備忘を残しました。
今回はこのへんで・・・
※感想等あれば是非SNSまでご連絡ください!
コメント頂けると大変励みになります!
Twitterアカウント: @Raiha1550_blog
