公開日:2021/07/05 最終更新日:2021/07/08

JVNVU#96262037
Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性

概要

Microsoft WindowsのPrint Spoolerサービスには、RpcAddPrinterDriverEx()関数のアクセス制限の不備に起因するリモートコード実行の脆弱性が存在します。

影響を受けるシステム

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
詳しくはMicrosoftが公開している情報を参照ください。

詳細情報

Print Spoolerサービスは、印刷において印刷待ちを実現するためのサービスです。RpcAddPrinterDriverEx()関数は、上記サービスでプリンタドライバのインストールに用いられます。パラメータDRIVER_CONTAINERオブジェクトとパラメータdwFileCopyFlagsによって、インストールするプリンタドライバとファイルのコピー方法を制御しています。
認証ユーザであれば、RpcAddPrinterDriverEx()関数を実行可能です。そのため、認証情報を取得した攻撃者は、リモートサーバ上のドライバを指定し、インストールできます。

想定される影響

認証された遠隔の第三者によって、SYSTEM権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
Microsoftが公開している情報をもとに、最新版へアップデートしてください。
またMicrosoftは、アップデート実施後に以下の設定を実施することを推奨しています。
詳しくは、KB5005010の内容を参照ください。

  • グループポリシーを使用して、ポイント アンド プリントを無効にする
  • 非管理者アカウントがプリンタドライバをインストールできないよう制限する
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
  • Print Spoolerサービスを停止し、無効にする
  • グループポリシーを使用して、インバウンドからのリモート印刷を無効にする

参考情報

  1. CERT/CC Vulnerability Note VU#383432
    Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
  2. CISA National Cyber Awareness System
    PrintNightmare, Critical Windows Print Spooler Vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
基本値: 8.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2021-0029
Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2021/07/05
[関連文書]を更新しました。
2021/07/07
[対策方法]および[参考情報]を更新しました。
2021/07/08
[対策方法]および[ベンダ情報リンク]を更新しました。